LokiLocker и BlackBit атакуют российский МСБ, обходят персидский интерфейс

LokiLocker и BlackBit атакуют российский МСБ, обходят персидский интерфейс

LokiLocker и BlackBit атакуют российский МСБ, обходят персидский интерфейс

Эксперты предупреждают об активизации в России программ-вымогателей LokiLocker и BlackBit. Треть всех жертв находятся в России. Вымогатели требуют до $100 тыс. за расшифровку. При этом быстро сворачиваются, если обнаруживают на компьютере персидский язык как основной.

Первые атаки программ-вымогателей из семейства LokiLocker зафиксировали весной 2022 года на Ближнем Востоке, хотя сам шифровальщик появился еще летом 2021 года. LokiLocker распространяется по партнерской программе RaaS (Ransomware-as-a-Service, “вымогательство как услуга”). Инциденты замечены уже по всему миру.

К атакам именно на российский бизнес злоумышленники подключали еще и новый “родственный” шифровальщик под брендом BlackBit, говорится в отчете экспертов цифровой криминалистики компании F.A.C.C.T. По своей функциональности он практически идентичен LokiLocker, основное отличие в нейминге: для зашифрованных файлов используется расширение .BlackBit.

Хакеры, взявшие на вооружение LokiLocker и BlackBit, не похищают у своих жертв данные и не выкладывают их на Data Leak Site (DLS) для дальнейшего шантажа. Но криминалисты F.A.C.C.T. изучили отчеты реагирования на инциденты и сторонние источники и выяснили, кого именно атакуют вымогатели.

Российский вектор в атаках LokiLocker и BlackBit прослеживается с весны 2022 года. Известно о 21 пострадавшей компании, а это — треть жертв по всему миру. Речь идет о малом и среднем бизнесе из сферы строительства, туризма и розничной торговли.

Начальная сумма выкупа колеблется от $10 тыс. до $100 тыс. (до 8 млн рублей). Финальный размер зависит от платежеспособности компании и количества ключей расшифровки, которые выкупает жертва. Для каждого зашифрованного хоста требуется свой оригинальный декриптор.

Эксперты обратили внимание на одну особенность — перед запуском вымогатель проверяет язык ввода. Если вредоносная программа находит на компьютере установленный персидский язык (Persian), то завершает работу.

Однако вопрос об атрибуции злоумышленников к конкретной стране до сих открыт. Некоторые исследователи убеждены, что атаки LokiLocker и BlackBit намеренно проводятся “под чужим флагом”, чтобы затруднить работу исследователям. Криминалисты F.A.C.C.T. не исключают интернациональный состав группы, хотя сама партнерская программа и первые версии программы-вымогателя изначально были созданы носителями именно персидского языка.

В среднем атака LokiLocker и BlackBit длится от суток до нескольких дней. Сначала злоумышленники используют скомпрометированные службы удаленного доступа (T1133) и, прежде всего, публично доступный терминальный сервер — RDP (Remote Desktop Protocol).

Для получения доступа к RDP-серверу атакующие могут применять как метод подбора пары “логин/пароль” (T1110), так и их покупку на даркнет-ресурсах у брокеров первоначального доступа.

Проникнув внутрь системы, взломщики стремятся закрепиться в сети и получить привилегированные учетные данные — для этого они используют популярную легитимную утилиту Mimikatz (T1003). В процессе разведки для оценки платежеспособности жертвы злоумышленники могут изучать на хостах файлы и документы, но не похищают их.

“Залив” программы-вымогателя в ИТ-инфраструктуру жертвы на Windows-системы проводится атакующими обычно вручную, почти всегда в выходной или праздничный день. Вымогатели стараются отключить антивирусные средства, используя легитимные утилиты (T1562.001).

Общаются киберпреступники с жертвами по электронной почте и Telegram. Если выкуп не приходит через месяц, а декрипторы не подключены, программа-вымогатель уничтожает все данные в скомпрометированной системе.

“В период геополитической напряженности российский бизнес все чаще подвергается кибератакам, среди которых в последнее время заметную роль стали играть программы вымогатели, ранее встречавшиеся в РФ крайне редко, например, тот же LokiLocker”, — замечает генеральный директор компании F.A.С.С.T. Валерий Баулин.

Несмотря на то, что партнеры LokiLocker и BlackBit не демонстрируют в своих атаках особо изощренных или инновационных методов, а сами программы-вымогатели хорошо известны многим средствам защиты, это не спасает жертв от шифрования данных. Успех атак во многом объясняется легкомысленным отношением бизнеса к защищенности своих внешних сервисов удаленного доступа, заключает эксперт.

Фейковый Google Play маскирует онлайн-казино под приложения Tesco, Amazon

Мошенники нашли красивую упаковку для старой схемы: берут известный бренд, рисуют фейковую страницу Google Play, запускают рекламу в соцсетях и под видом официального приложения ведут пользователя в онлайн-казино. В объявлениях злоумышленники используют названия и визуальный стиль известных компаний, включая Tesco, Amazon, Monzo, Revolut и стриминговые сервисы.

По данным Netcraft, кампания продвигается через платную рекламу в Facebook, Instagram, Threads (все три принадлежат корпорации Meta, признанной экстремистской и запрещённой в России) и TikTok.

Где-то всё выглядит примитивно — просто «Brand Slots». А где-то уже почти спектакль: поддельные интерфейсы, фальшивые отзывы, липовые данные из магазинов приложений и даже ИИ-видео с якобы сотрудниками бренда.

 

Главная легенда — официальный запуск слотов или казино-приложения от известной компании. Пользователь кликает по рекламе и попадает на страницу, похожую на Google Play, App Store или сайт бренда. Но кнопка «Install» не ведёт в настоящий магазин приложений. Вместо этого браузер предлагает добавить на главный экран PWA — прогрессивное веб-приложение.

После установки такая штука выглядит как обычное приложение: с иконкой, названием и оформлением под бренд. На деле это тонкая обёртка, которая открывает сторонний сайт онлайн-казино. То есть пользователь думал, что ставит «Amazon Slots» или «Monzo Slots», а получил ярлык на азартную площадку.

Netcraft считает, что схему подпитывает партнёрская экономика. В PWA и ссылках есть параметры, которые позволяют отслеживать регистрации и депозиты. По открытым данным, выплаты за игрока, внесшего депозит, могут составлять от $50 до $350. С такими ставками мошенникам есть смысл вкладываться в правдоподобные объявления и массовый запуск рекламы.

В некоторых кампаниях использовались фейковые страницы с вымышленными разработчиками, скачиваниями и отзывами. Были и интерактивные приманки вроде колеса удачи с гарантированным выигрышем, после которого пользователя просили установить PWA, чтобы забрать приз.

Опасность здесь не только в потерянных деньгах. Такие PWA размывают границу между настоящим приложением и подделкой: браузерная оболочка минимальна, и всё выглядит почти как фирменный сервис. Только фирменного там — разве что украденный логотип.

RSS: Новости на портале Anti-Malware.ru