Операторы шифровальщика Ryuk развертывают его в сети за 2,5 дня

Татьяна Никитина 08 Октября 2021 - 16:50

Корпорации

FireEye

Программы-вымогатели

Программы-шифровальщики

Целевые атаки

Таргетированные атаки

...

Операторы шифровальщика Ryuk развертывают его в сети за 2,5 дня

В этом году преступная группа, ассоциируемая с Ryuk, решила ускорить процесс получения финансовой выгоды и стала заказывать взлом сетей. С той же целью злоумышленники отказались от схемы двойного шантажа — перестали воровать данные у жертв и угрожать публикацией в случае неуплаты выкупа.

Таковы результаты наблюдений компании Mandiant (собственность FireEye), которая идентифицирует данную группировку как FIN12. Новая тактика, по словам экспертов, позволила сократить время развертывания шифровальщика в целевой сети с 12,4 до 2,5 дней.

До марта 2020 года доставку Ryuk обеспечивал в основном Trickbot. В августе того же года операторы шифровальщика взяли тайм-аут, исчезнув с интернет-горизонта почти на четыре месяца, а затем в Mandiant заметили, что FIN12 начала разнообразить способы внедрения зловреда в сети.

Были зафиксированы случаи, когда ОПГ использовала ключи к рабочей среде Citrix. На хакерских форумах появились посты одного из участников FIN12, выражавшего готовность оформить заказ на доступ по RDP или VPN.

Эти операторы Ryuk также известны тем, что в отличие от многих коллег по цеху активно атакуют представителей сферы здравоохранения — на долю таких жертв, по оценке Mandiant, приходится около 20% успешных атак FIN12.

Мишени кибергруппы в основном расположены в Северной Америке (около 85% известных жертв), однако за последние два года география ее интересов заметно расширилась. В качестве объектов атаки злоумышленники обычно выбирают компании с доходом не менее $300 млн и требуют выкуп в размере от $1 млн до $25 миллионов.

В начале июня FIN12 вновь ушла на каникулы и с тех пор молчит. Поскольку столь длительное отсутствие для нее не редкость, эксперты ожидают, что в скором времени преступная группа возобновит свои операции.

Копия отчета Mandiant, составленного по результатам расследования деятельности FIN12, выложена (PDF) в загрузки на сайте компании.

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 17 Марта 2026 - 18:43

Solar webProxy Малый и средний бизнес Корпорации Сетевая безопасность Шлюзы информационной безопасности (Security Web Gateway) ГК «Солар»

Заказчики Solar webProxy в Беларуси смогут быстрее получать новые версии

ГК «Солар» сообщила, что её система фильтрации и контроля веб-трафика Solar webProxy теперь сможет обновляться для белорусских заказчиков без прежних задержек, связанных с сертификацией. Это стало возможно благодаря изменённому подходу к подтверждению соответствия в Оперативно-аналитическом центре при Президенте Республики Беларусь.

Если раньше фактически приходилось отдельно проходить подтверждение для каждой новой версии продукта, то теперь последующие релизы будут автоматически получать одобрение регулятора.

На практике это значит, что белорусские клиенты смогут быстрее получать новые функции и обновления — без паузы между выходом версии и её допустимым использованием.

В первую очередь это касается организаций, для которых требования регулятора особенно чувствительны: госструктур, финансового сектора и объектов критической инфраструктуры.

Сам продукт относится к классу Secure Web Gateway. Такие системы используются для контроля веб-трафика, ограничения доступа к нежелательным ресурсам, защиты от фишинга и более тонкой настройки интернет-доступа для сотрудников. В случае Solar webProxy отдельно подчёркивается и контроль работы с публичными ИИ-сервисами — например, ChatGPT и Gemini.

Эта тема сейчас выглядит вполне актуально и для белорусского рынка. По приведённым в сообщении данным, всё больше компаний используют нейросети в повседневной работе — для маркетинга, аналитики, обучения и клиентского сервиса. Одновременно растёт и тревога вокруг утечек данных: сотрудники могут загружать в публичные ИИ-сервисы внутренние документы, отчёты, фрагменты исходного кода и другую чувствительную информацию.

На этом фоне решения класса SWG становятся не просто инструментом фильтрации трафика, а способом хотя бы частично контролировать, куда именно уходит корпоративная информация и какие внешние сервисы используют сотрудники.

В компании также сообщили, что сертификат подтверждает соответствие Solar webProxy требованиям технического регламента ТР 2013/027/BY и позволяет использовать продукт в автоматизированных системах 2 и 3 класса защищённости.

Solar webProxy стала уже третьим решением «Солара», сертифицированным в Беларуси. Ранее аналогичную процедуру прошли Solar inRights и Solar Dozor.

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!