LokiLocker и BlackBit атакуют российский МСБ, обходят персидский интерфейс

LokiLocker и BlackBit атакуют российский МСБ, обходят персидский интерфейс

LokiLocker и BlackBit атакуют российский МСБ, обходят персидский интерфейс

Эксперты предупреждают об активизации в России программ-вымогателей LokiLocker и BlackBit. Треть всех жертв находятся в России. Вымогатели требуют до $100 тыс. за расшифровку. При этом быстро сворачиваются, если обнаруживают на компьютере персидский язык как основной.

Первые атаки программ-вымогателей из семейства LokiLocker зафиксировали весной 2022 года на Ближнем Востоке, хотя сам шифровальщик появился еще летом 2021 года. LokiLocker распространяется по партнерской программе RaaS (Ransomware-as-a-Service, “вымогательство как услуга”). Инциденты замечены уже по всему миру.

К атакам именно на российский бизнес злоумышленники подключали еще и новый “родственный” шифровальщик под брендом BlackBit, говорится в отчете экспертов цифровой криминалистики компании F.A.C.C.T. По своей функциональности он практически идентичен LokiLocker, основное отличие в нейминге: для зашифрованных файлов используется расширение .BlackBit.

Хакеры, взявшие на вооружение LokiLocker и BlackBit, не похищают у своих жертв данные и не выкладывают их на Data Leak Site (DLS) для дальнейшего шантажа. Но криминалисты F.A.C.C.T. изучили отчеты реагирования на инциденты и сторонние источники и выяснили, кого именно атакуют вымогатели.

Российский вектор в атаках LokiLocker и BlackBit прослеживается с весны 2022 года. Известно о 21 пострадавшей компании, а это — треть жертв по всему миру. Речь идет о малом и среднем бизнесе из сферы строительства, туризма и розничной торговли.

Начальная сумма выкупа колеблется от $10 тыс. до $100 тыс. (до 8 млн рублей). Финальный размер зависит от платежеспособности компании и количества ключей расшифровки, которые выкупает жертва. Для каждого зашифрованного хоста требуется свой оригинальный декриптор.

Эксперты обратили внимание на одну особенность — перед запуском вымогатель проверяет язык ввода. Если вредоносная программа находит на компьютере установленный персидский язык (Persian), то завершает работу.

Однако вопрос об атрибуции злоумышленников к конкретной стране до сих открыт. Некоторые исследователи убеждены, что атаки LokiLocker и BlackBit намеренно проводятся “под чужим флагом”, чтобы затруднить работу исследователям. Криминалисты F.A.C.C.T. не исключают интернациональный состав группы, хотя сама партнерская программа и первые версии программы-вымогателя изначально были созданы носителями именно персидского языка.

В среднем атака LokiLocker и BlackBit длится от суток до нескольких дней. Сначала злоумышленники используют скомпрометированные службы удаленного доступа (T1133) и, прежде всего, публично доступный терминальный сервер — RDP (Remote Desktop Protocol).

Для получения доступа к RDP-серверу атакующие могут применять как метод подбора пары “логин/пароль” (T1110), так и их покупку на даркнет-ресурсах у брокеров первоначального доступа.

Проникнув внутрь системы, взломщики стремятся закрепиться в сети и получить привилегированные учетные данные — для этого они используют популярную легитимную утилиту Mimikatz (T1003). В процессе разведки для оценки платежеспособности жертвы злоумышленники могут изучать на хостах файлы и документы, но не похищают их.

“Залив” программы-вымогателя в ИТ-инфраструктуру жертвы на Windows-системы проводится атакующими обычно вручную, почти всегда в выходной или праздничный день. Вымогатели стараются отключить антивирусные средства, используя легитимные утилиты (T1562.001).

Общаются киберпреступники с жертвами по электронной почте и Telegram. Если выкуп не приходит через месяц, а декрипторы не подключены, программа-вымогатель уничтожает все данные в скомпрометированной системе.

“В период геополитической напряженности российский бизнес все чаще подвергается кибератакам, среди которых в последнее время заметную роль стали играть программы вымогатели, ранее встречавшиеся в РФ крайне редко, например, тот же LokiLocker”, — замечает генеральный директор компании F.A.С.С.T. Валерий Баулин.

Несмотря на то, что партнеры LokiLocker и BlackBit не демонстрируют в своих атаках особо изощренных или инновационных методов, а сами программы-вымогатели хорошо известны многим средствам защиты, это не спасает жертв от шифрования данных. Успех атак во многом объясняется легкомысленным отношением бизнеса к защищенности своих внешних сервисов удаленного доступа, заключает эксперт.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Android блокирует свыше 10 млрд мошеннических сообщений в месяц

Как отмечают в Google, встроенные в Android инструменты защиты от мошенников ежемесячно блокируют более 10 миллиардов подозрительных звонков и сообщений по всему миру. Кроме того, компания предотвратила рассылку более 100 миллионов вредоносных номеров через RCS — современный аналог СМС.

Система защиты работает на базе искусственного интеллекта, который автоматически распознаёт и фильтрует спам. Такие сообщения попадают в специальную папку «Спам и заблокированные» в приложении Сообщения.

В этом месяце Google также расширила защиту ссылок: если пользователь пытается перейти по URL из подозрительного сообщения, система покажет предупреждение и не даст открыть опасный сайт, пока пользователь сам не подтвердит, что сообщение не является спамом.

По данным анализа за август 2025 года, чаще всего пользователи сталкиваются с мошенничеством при трудоустройстве — когда злоумышленники выдают себя за работодателей, чтобы выманить персональные данные и деньги. На втором месте — финансовые аферы: поддельные счета, фиктивные подписки, ложные инвестиционные предложения. Также встречаются фейковые уведомления о доставке посылок, подделка госструктур, романтические схемы и мошенничество с техподдержкой.

 

Интересно, что мошенники всё чаще рассылают сообщения в групповых чатах, а не напрямую. Это делает рассылку более убедительной — особенно если в переписку включён подставной «участник», который подтверждает слова злоумышленника.

Google отмечает, что активность мошенников имеет чёткий ритм: волна рассылок начинается около 5 утра по Тихоокеанскому времени, достигает пика к 8-10 утра и особенно активна по понедельникам — когда пользователи спешат на работу и менее внимательны к сообщениям.

Большинство схем строится по принципу «Spray and Pray» — массовая рассылка в надежде, что хотя бы кто-то клюнет. Другие, более изощрённые сценарии, вроде «Bait and Wait», рассчитаны на длительное выстраивание доверия — например, в любовных переписках или «вакансиях мечты».

Все эти кампании поддерживаются целой инфраструктурой: от ферм сим-карт и платформ «фишинг как услуга» до массовых сервисов рассылки. Когда в одном регионе борьба с ними усиливается, мошенники просто переходят на новую площадку, создавая эффект «плавающих» волн спама.

Google подчёркивает, что борьба с такими схемами идёт постоянно, и обещает продолжать усиливать защиту пользователей Android по всему миру.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru