Привереда Onyx не любит большие файлы — он их не шифрует, а портит

Татьяна Никитина 28 Апреля 2022 - 14:47

Малый и средний бизнес

...

Жертвам нового шифровальщика для Windows не рекомендуется платить выкуп. Платеж не поможет вернуть все заблокированные данные, о файлах размером больше 200 Мбайт придется забыть, так как вредонос их перезаписывает.

Запуск вымогательской кампании, именуемой Onyx (не путать с русскоязычным OnyxLocker и быстро угасшим спецпроектом для Грузии 5-летней давности), отследила ИБ-команда MalwareHunterTeam. Операторы нового зловреда, как и многие коллеги по цеху, используют двойной шантаж — воруют данные до шифрования, а потом угрожают публикацией в случае неуплаты выкупа.

Как оказалось, текст записки Onyx с требованием выкупа и предупреждение на его onion-сайте утечек позаимствованы у Conti. На странице Onyx News пока числятся шесть жертв заражения и кражи данных.

Анализ образца написанного на .NET зловреда показал, что это очередной франкенштейн, состряпанный из публично доступных исходников (эксперты обычно называют такие творения skidware, работа скрипт-кидди). Тем не менее, угроза оказалась нешуточной: вредонос шифрует только файлы весом до 200 Мбайт, более крупные он перезаписывает случайными данными, не оставляя жертве надежды на возврат.

По мнению Лоуренса Абрамса (Lawrence Abrams) из Bleepng Computer, деструктивные функции были приданы Onyx умышленно, на багу это не похоже. Жертвам заражения не советуют идти на поводу у вымогателей и платить: это не поможет восстановить данные во всей полноте.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 17 Октября 2025 - 17:34

Эксплойты Уязвимости программ Корпорации F5 Networks

В интернете найдены 269 000 устройств F5 с незакрытыми уязвимостями

После обнародования атаки на F5 эксперты начали сканировать Сеть в поисках хостов, уязвимых к взлому. В Shadowserver Foundation такие проверки проводятся автоматом и ежедневно; результаты оказались плачевными: под ударом около 269 тыс. устройств.

Напомним, авторам атаки удалось проникнуть в сеть F5 и выкрасть исходники продуктов линейки BIG-IP, а также данные о новых опасных уязвимостях.

Обнаружив утечку, вендор в срочном порядке выпустил патчи и усилил защиту своей инфраструктуры. Судя по данным Shadowserver, реакция его многочисленных клиентов оказалась менее быстрой.

Согласно статистике, опубликованной активистами в X и на своем сайте, половина доступных из интернета и потенциально уязвимых устройств F5 (отслеживаются по IP) находятся в США:

Публично доступный интерфейс управления критически важными сетевыми устройствами — настоящий подарок для злоумышленников. Эксплойт позволяет закрепиться в целевой сети, развить атаку и украсть конфиденциальные данные.

Пользователям продуктов F5 и админам рекомендуется обновить BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ и клиенты APM в кратчайшие сроки.