Вымогатели BlackCat усовершенствовали вывод данных и крадут пароли из Veeam

Татьяна Никитина 22 Сентября 2022 - 20:26

...

Вымогатели BlackCat усовершенствовали вывод данных и крадут пароли из Veeam

При разборе августовских атак шифровальщика BlackCat/ALPHV эксперты Symantec (те, что ушли под крыло Broadcom) обнаружили новый, более скрытный вариант инструмента эксфильтрации данных Exmatter. Наблюдатели также отметили случай использования дополнительного зловреда — инфостилера Eamfo, умеющего воровать учетные данные, сохраненные с помощью Veeam.

Кросс-платформенного вредоноса BlackCat, которого в Symantec называют Noberus, многие считают преемником BlackMatter и Darkside. Операторы шифровальщика постоянно обновляют свои техники и тактики, стараясь повысить эффективность атак.

Использование Exmatter позволяет вымогателям незаметно выкачивать из корпоративной сети данные — до запуска шифрования. Украденная информация тоже становится средством шантажа: ее грозят опубликовать в случае неуплаты выкупа за ключ расшифровки.

Создатели новой версии Exmatter сократили список расширений для поиска файлов до 19 позиций (.pdf, .doc, .docx, .xls, .xlsx, .png, .jpg, .jpeg, .txt, .bmp, .rdp, .txt, .sql, .msg, .pst, .zip, .rtf, .ipt, .dwg). Из других нововведений аналитики отметили следующие:

вывод данных через FTP, в дополнение к SFTP и WebDav;
создание отчета со списком всех обработанных файлов;
порча файлов при обработке (функциональность пока отключена);
самоудаление при отсутствии корпоративного окружения (за пределами домена Active Directory);
снятие с поддержки Socks5;
развертывание с помощью групповых политик Windows.

Анализ также показал, что вредоносный код в значительной мере переписан — даже сохранившиеся функции реализованы заново и по-иному. По всей видимости, вирусописатели надеялись таким образом повысить вероятность обхода средств обнаружения.

В конце августа была зафиксирована атака BlackCat с использованием Eamfo (эксперты сочли ее делом рук одного из аффилиатов RaaS-сервиса). Этот инфостилер имеет узкую специализацию: крадет учетные данные только из бэкапов Veeam.

С этой целью он подключается к базе данных SQL, которую использует софт для резервного копирования, и посылает особый запрос. Полученные данные предоставляются оператору уже в расшифрованном виде, чтобы тот мог использовать их для своих нужд — повышения привилегий, дальнейшего продвижения по сети.

По данным экспертов, Eamfo появился на интернет-арене не позднее августа прошлого года и был также замечен в атаках других шифровальщиков — Yanluowang, LockBit.

Авторы той же BlackCat-атаки с инфостилером применили еще один инструмент — сканер GMER, нацеленный на поиск руткитов. Злоумышленникам он помог принудительно завершить неугодные процессы в скомпрометированных системах.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 07 Апреля 2026 - 09:05

Соответствие законодательству РФ Общее Персональный VPN Анонимайзеры Системы контентной веб-фильтрации Соответствие требованиям регуляторов

Маркетплейсы в России начали жёстче ограничивать пользователей с VPN

Российские пользователи всё чаще сталкиваются со странным поведением крупных маркетплейсов: сайты могут открываться медленно, не загружать карточки товаров, изображения и описания или вовсе работать с заметными сбоями. Проблема затрагивает сразу несколько крупных площадок и уже больше похожа на новую системную практику.

По данным «Известий», нестабильная работа при подключении через ряд популярных VPN-сервисов наблюдается у Wildberries, Ozon и «ВкусВилла».

При этом без VPN эти же сайты продолжают нормально открываться даже за пределами России. То есть формально пользователь может зайти на площадку, но вот нормально посмотреть ассортимент или оформить заказ получается уже не всегда.

Источники на рынке говорят, что маркетплейсы начали внедрять более жёсткие механизмы фильтрации трафика. Если раньше сервисы в основном ограничивались предупреждениями о том, что при использовании VPN возможна некорректная работа, то теперь, похоже, многие площадки перешли к более жёсткому сценарию. В итоге пользователю могут фактически запретить не только покупку, но даже обычный просмотр товаров.

Эксперты предупреждают, что последствия такой практики могут выйти далеко за пределы электронной коммерции. Если подход с более жёсткой фильтрацией начнут применять шире, проблемы могут затронуть и другие чувствительные отрасли: финансовый сектор, трансграничную торговлю и логистику. Кроме того, есть и вполне приземлённый риск: если часть аудитории не сможет нормально даже просматривать товары, это неизбежно ударит по конверсии и оборотам площадок.

При этом полной блокировки VPN, по словам участников рынка, ждать вряд ли стоит. Технически это сложно, да и самим маркетплейсам такой сценарий не особенно выгоден. Скорее речь идёт о точечном ограничении наиболее популярных сервисов и прежде всего их бесплатных версий.

Аналитик Mobile Research Group Эльдар Муртазин связывает происходящее с инициативами регулятора. Он напоминает, что многие современные сервисы обхода ограничений позволяют настраивать исключения для отдельных сайтов, то есть пускать часть трафика мимо VPN. Именно поэтому пользователи пока ещё могут подстраиваться под новые условия.

В отрасли также напоминают, что для самих маркетплейсов VPN — это не только история про обход блокировок, но и зона дополнительных рисков: анонимный трафик, мошенничество и сложность верификации пользователей. Поэтому ужесточение контроля выглядит для площадок логичным шагом, даже если для части аудитории он обернётся неудобствами.

Напомним, Минцифры на днях признало, что искать VPN на iPhone оказалось сложнее, чем на Android. Кроме того, регулятор сразу хотел подключить маркетплейсы и онлайн-сервисы к блокировке VPN.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!