LokiLocker и BlackBit атакуют российский МСБ, обходят персидский интерфейс

LokiLocker и BlackBit атакуют российский МСБ, обходят персидский интерфейс

LokiLocker и BlackBit атакуют российский МСБ, обходят персидский интерфейс

Эксперты предупреждают об активизации в России программ-вымогателей LokiLocker и BlackBit. Треть всех жертв находятся в России. Вымогатели требуют до $100 тыс. за расшифровку. При этом быстро сворачиваются, если обнаруживают на компьютере персидский язык как основной.

Первые атаки программ-вымогателей из семейства LokiLocker зафиксировали весной 2022 года на Ближнем Востоке, хотя сам шифровальщик появился еще летом 2021 года. LokiLocker распространяется по партнерской программе RaaS (Ransomware-as-a-Service, “вымогательство как услуга”). Инциденты замечены уже по всему миру.

К атакам именно на российский бизнес злоумышленники подключали еще и новый “родственный” шифровальщик под брендом BlackBit, говорится в отчете экспертов цифровой криминалистики компании F.A.C.C.T. По своей функциональности он практически идентичен LokiLocker, основное отличие в нейминге: для зашифрованных файлов используется расширение .BlackBit.

Хакеры, взявшие на вооружение LokiLocker и BlackBit, не похищают у своих жертв данные и не выкладывают их на Data Leak Site (DLS) для дальнейшего шантажа. Но криминалисты F.A.C.C.T. изучили отчеты реагирования на инциденты и сторонние источники и выяснили, кого именно атакуют вымогатели.

Российский вектор в атаках LokiLocker и BlackBit прослеживается с весны 2022 года. Известно о 21 пострадавшей компании, а это — треть жертв по всему миру. Речь идет о малом и среднем бизнесе из сферы строительства, туризма и розничной торговли.

Начальная сумма выкупа колеблется от $10 тыс. до $100 тыс. (до 8 млн рублей). Финальный размер зависит от платежеспособности компании и количества ключей расшифровки, которые выкупает жертва. Для каждого зашифрованного хоста требуется свой оригинальный декриптор.

Эксперты обратили внимание на одну особенность — перед запуском вымогатель проверяет язык ввода. Если вредоносная программа находит на компьютере установленный персидский язык (Persian), то завершает работу.

Однако вопрос об атрибуции злоумышленников к конкретной стране до сих открыт. Некоторые исследователи убеждены, что атаки LokiLocker и BlackBit намеренно проводятся “под чужим флагом”, чтобы затруднить работу исследователям. Криминалисты F.A.C.C.T. не исключают интернациональный состав группы, хотя сама партнерская программа и первые версии программы-вымогателя изначально были созданы носителями именно персидского языка.

В среднем атака LokiLocker и BlackBit длится от суток до нескольких дней. Сначала злоумышленники используют скомпрометированные службы удаленного доступа (T1133) и, прежде всего, публично доступный терминальный сервер — RDP (Remote Desktop Protocol).

Для получения доступа к RDP-серверу атакующие могут применять как метод подбора пары “логин/пароль” (T1110), так и их покупку на даркнет-ресурсах у брокеров первоначального доступа.

Проникнув внутрь системы, взломщики стремятся закрепиться в сети и получить привилегированные учетные данные — для этого они используют популярную легитимную утилиту Mimikatz (T1003). В процессе разведки для оценки платежеспособности жертвы злоумышленники могут изучать на хостах файлы и документы, но не похищают их.

“Залив” программы-вымогателя в ИТ-инфраструктуру жертвы на Windows-системы проводится атакующими обычно вручную, почти всегда в выходной или праздничный день. Вымогатели стараются отключить антивирусные средства, используя легитимные утилиты (T1562.001).

Общаются киберпреступники с жертвами по электронной почте и Telegram. Если выкуп не приходит через месяц, а декрипторы не подключены, программа-вымогатель уничтожает все данные в скомпрометированной системе.

“В период геополитической напряженности российский бизнес все чаще подвергается кибератакам, среди которых в последнее время заметную роль стали играть программы вымогатели, ранее встречавшиеся в РФ крайне редко, например, тот же LokiLocker”, — замечает генеральный директор компании F.A.С.С.T. Валерий Баулин.

Несмотря на то, что партнеры LokiLocker и BlackBit не демонстрируют в своих атаках особо изощренных или инновационных методов, а сами программы-вымогатели хорошо известны многим средствам защиты, это не спасает жертв от шифрования данных. Успех атак во многом объясняется легкомысленным отношением бизнеса к защищенности своих внешних сервисов удаленного доступа, заключает эксперт.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Nova Specail Edition получила сертификат ФСТЭК России и 4 уровень доверия

Российский оркестратор контейнеров Nova Container Platform от компании Orion soft получил сертификат соответствия ФСТЭК России № 4943. Сертифицированная версия под названием Nova Container Platform Special Edition теперь обладает всей функциональностью базовой редакции, но при этом соответствует требованиям четвёртого уровня доверия.

Редакция предназначена для использования в системах, где требуется повышенный уровень информационной безопасности:

  • в автоматизированных системах управления технологическими процессами (АСУ ТП) до 1 класса защищённости;
  • в государственных информационных системах (ГИС) до 1 класса защищённости;
  • при работе с персональными данными до 1 уровня защищённости;
  • на значимых объектах критической информационной инфраструктуры (КИИ) до 1 категории значимости.

Речь идёт, в частности, о таких сферах, как нефтегаз, оборонная промышленность, металлургия, атомная энергетика, финансы и медицина.

Среди функций сертифицированной версии — сканирование контейнерных образов на наличие уязвимостей, контроль целостности, управление доступом, идентификация и аутентификация пользователей, сбор и регистрация событий безопасности, а также централизованное управление контейнерами.

Nova Container Platform поддерживает работу в изолированных средах, развёртывание на российских операционных системах и входит в реестр отечественного ПО. Платформа также интегрирована с другими продуктами Orion soft, включая систему виртуализации zVirt.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru