Шифровальщик BlackCat повысил ставки до $2,5 миллионов

Шифровальщик BlackCat повысил ставки до $2,5 миллионов

Шифровальщик BlackCat повысил ставки до $2,5 миллионов

Наблюдатели из Resecurity отметили рост аппетитов операторов BlackCat: размер выкупа, который те обычно просят за дешифратор, уже превысил $2 миллиона. Злоумышленники также усовершенствовали поиск по базе краденых данных; сотрудники и клиенты атакованных компаний теперь могут проверить, пострадали или нет ПДн и пароли, и подать коллективный иск, создав, таким образом, дополнительный рычаг давления на жертву.

Как показали недавние атаки в странах Северной Европы, иногда зарвавшиеся вымогатели могут попросить и $14 млн, предложив 50%-ную скидку тому, кто готов платить. В среднем ставка повысилась до $2,5 млн, которые нужно отдать в BTC или XMR в течение 5-7 дней.

Согласно Resecurity, за первую половину 2021 года средняя стоимость ключа дешифровки, назначаемая авторами атак, возросла до рекордных $570 тыс., а к 2022 году почти удвоилась. (В отчете Group-IB за 2021 год приведена более скромная цифра — $247 тысяч.) По последним прогнозам, к 2031 году активность шифровальщиков будет обходиться бизнесу в $265 млрд, а с учетом всех негативных последствий, включая потерю репутации, — в $10,5 триллионов. К сожалению, несмотря на увещевания экспертов, вымогателям платит около половины жертв заражения — за неимением альтернативы.

Кросс-платформенный шифровальщик BlackCat, он же ALPHV, AlphaVM и AphaV, активен в интернете как минимум с ноября 2021 года и используется в основном против крупных компаний. Построенный на его основе RaaS-сервис (Ransomware-as-a-Service, вымогательский софт как услуга) связан партнерскими узами с брокерами доступа к чужим сетям.

Последнее время в таких атаках зачастую используются эксплойты ProxyShell (уязвимости CVE-2021-31207, CVE-2021-34473 и CVE-2021-34523 в Microsoft Exchange), дропперы (скрипты .bat или PowerShell) и бесфайловый метод загрузки (подменой DLL). В Linux злоумышленники создают обратный туннель SSH для связи зараженной машины с командной инфраструктурой BlackCat.

В рамках RaaS-сервиса в сети Tor функционирует сайт утечек, созданный для оказания дополнительного давления на жертв. От аналогов он отличается тем, что предоставляет возможность поиска по базе — по имени компании, а с недавних пор также по названию документов и их содержимому.

 

В базе BlackCat исследователи обнаружили более 2270 проиндексированных файлов с незашифрованными учетными данными, а также свыше 100 тыс. документов с пометкой «для служебного пользования», содержащих внутреннюю переписку и вложения (тоже проиндексированы).

В начале текущего года операторы BlackCat провели разрушительные атаки на OilTanking GmbH и Swissport International. В июне они опубликовали данные, украденные у спа-курорта в Орегоне, а позднее взяли на себя ответственность за атаки на два американских университета, во Флориде и Северной Каролине.

Вчера, 10 июля, список жертв вымогателей пополнился новыми именами — ИТ-провайдера COUNT+CARE Gmbh, отельера Dusit D2 Kenz (Дубай), австралийского аудитора Sinclair Wilson, дизайнера Adler Display из Балтимора, штат Мэриленд. По данным Resecurity, новые записи на сайте BlackCat появляются каждую неделю, а то и чаще.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Минобороны США использует Node.js-пакет, который пишет россиянин

Американская компания Hunted Labs подняла тревогу: один из самых популярных Node.js-пакетов — fast-glob — фактически держится на одном человеке. При этом библиотека используется тысячами проектов по всему миру, включая более 30 систем Минобороны США.

Речь идёт об утилите для поиска файлов по шаблонам. Её автор — разработчик под ником mrmlnc. GitHub-аккаунт и личный сайт связывают его с Яндексом: по данным Hunted Labs, это Денис Малиночкин, живущий в Подмосковье.

С точки зрения безопасности ситуация вызывает вопросы: пакет скачивают более 79 миллионов раз в неделю, он встроен в Node.js-контейнеры и тысячи публичных и частных проектов.

Хотя у fast-glob нет зарегистрированных уязвимостей, библиотека имеет доступ к файловым системам, а значит, теоретически может использоваться для кибератак.

Hunted Labs подчёркивает: сам факт того, что у проекта нет внешнего контроля и дополнительных мейнтейнеров, делает его потенциальной мишенью для злоупотреблений.

«Не каждый кусок кода, написанный россиянином, подозрителен сам по себе. Но такие популярные пакеты без надзора — удобная цель для злоумышленников или государственных структур», — отметил сооснователь Hunted Labs Хейден Смит.

После публикации отчёта сам Малиночкин связался с журналистами. Он подтвердил, что действительно является единственным разработчиком fast-glob, но отверг любые предположения о «скрытых» функциях:

«Никто никогда не просил меня манипулировать проектом, встраивать скрытые изменения или собирать системные данные. Я считаю, что open source строится на доверии и разнообразии», — заявил разработчик изданию The Register он.

В Пентагоне пока не прокомментировали, будут ли отказываться от использования fast-glob.

Эксперты же сходятся в одном: сообществу open source нужно внимательнее следить за тем, кто и как поддерживает критичные проекты. Ведь как выразились в Hunted Labs, «открытому ПО не нужен CVE, чтобы быть опасным. Достаточно доступа, незаметности и беспечности».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru