Мультиплатформенного шифровальщика Cyclops поженили с инфостилером
Главная » Новости
SECURITM — система управления информационной безопасностьюSECURITM — система управления информационной безопасностью. Сократите расходы, автоматизируйте проверку соответствия требованиям и сведите подготовку к аудиту до 2 дней. Единая система для рисков, уязвимостей, активов и комплаенса с AI-ассистентом, конструктором документов, ГОСТ 57580, КИИ, ПДн, ГИС и поддержкой других регуляторных документов.→ Ознакомиться
Реклама. ООО «СЕКЪЮРИТМ». ИНН 7820074059, 16+

Мультиплатформенного шифровальщика Cyclops поженили с инфостилером

Татьяна Никитина 06 Июня 2023 - 18:45
...
Мультиплатформенного шифровальщика Cyclops поженили с инфостилером

Операторы RaaS-сервиса Cyclops (Ransomware-as-a-Service, вымогатель как услуга) дополнили свой ассортимент вредоносом, ворующим данные. Рекламу новинки отследили на хакерских форумах исследователи из Uptycs.

По всей видимости, новая услуга ориентирована на тех, кто использует схему двойного шантажа: не только шифрует данные, но также ворует важные файлы и угрожает публикацией в случае неуплаты выкупа. За дополнительный компонент с подписчиков берут долю прибыли.

Шифровальщик Cyclops нацелен на разные платформы: Windows (64-бит), macOS, Linux. Версии для macOS и Linux написаны на Golang.

Вредонос умеет принудительно завершать процессы, мешающие его работе, и применяет сложную схему шифрования, предполагающую использование симметричных и асимметричных шифров. Логика Cyclops напомнила аналитикам Babuk: при работе на Windows-машинах оба используют эллиптические кривые Диффи – Хеллмана (Curve25519) и потоковый шифр HC-256, а также комбинацию Curve25519 и ChaCha.

После шифрования содержимого в конец файла записываются публичный ключ (вшит в код зловреда), хеш CRC32 и маркер, позволяющий избежать повторного шифрования. К обработанным файлам добавляется расширение .CYCLOPS. По завершении шифрования в системе создается записка с требованием выкупа и ссылкой на onion-сайт для восстановления данных.

Модуль-инфостилер, который можно подключить из админ-панели, тоже написан на Go и заточен под Windows и Linux. Зловред собирает информацию о зараженной машине (данные ОС, имя компьютера, число процессов, контроллер домена, через который осуществляется вход). Поиск файлов, представляющих интерес, осуществляется по имени и расширению; вся добыча выгружается на удаленный сервер.

Версия стилера для 64-битных Windows загружается в виде архивного файла, содержащего stealer.exe и config.json со списками целевых имен, расширений и размеров. При исполнении вредонос считывает данные из config.json, перечисляет папки и ищет в них нужные объекты. Обнаружив совпадение, он архивирует содержимое файла (ZIP), запароливает итог и отсылает на сервер оператора.

Инфостилер для Linux тоже доступен клиентам RaaS в виде архива, но с несколько иным содержимым — stealer.linux и config.json. По функциональности этот модуль, по данным Uptycs, схож с Windows-версией.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Нерадивые школьники срывают уроки и экзамены с помощью DDoS
Яков Шпунт 17 Сентября 2025 - 08:49
Атаки на сайтыDDoS-атаки Домашние пользователиГосударство
Нерадивые школьники срывают уроки и экзамены с помощью DDoS

С начала 2025 года образовательные учреждения в России столкнулись с сотнями кибератак. Основной целью злоумышленников был срыв учебного процесса, дестабилизация работы школьных систем и создание препятствий при проведении Единого государственного экзамена (ЕГЭ), что серьёзно осложняло работу администраций школ.

Как сообщает сетевая «Газета.Ru» со ссылкой на компанию StormWall, чаще всего за атаками стояли сами ученики. Инциденты фиксировались на протяжении всего года, однако пик пришёлся на май-июнь, совпав с проведением ЕГЭ.

В ряде случаев атаки приводили к сбоям в работе информационных систем школ.

«DDoS-атаки, инициированные школьниками, имели сравнительно небольшую мощность (10–20 Гбит/с). Для их запуска использовались дешёвые инструменты. Несмотря на низкий уровень, подобные атаки вызывали серьёзные сбои в работе школьных ИТ-систем. Причина в том, что учебные заведения обладают недостаточной защитой от киберугроз, и даже маломощные атаки становятся для них проблемой», — отметили в StormWall.

В компании добавили, что атаки на школы отражают общую тенденцию роста числа DDoS-атак. Так, в первом полугодии 2025 года их количество увеличилось на 68% по сравнению с аналогичным периодом 2024 года. Чаще всего атакам подвергались финансовые организации, телекоммуникационные компании, государственный сектор, ретейл, индустрия развлечений и логистика.

При этом наиболее высокий темп роста показала фармацевтическая отрасль: количество атак на данный сегмент выросло на 82%. Основные мотивы злоумышленников — шантаж, вымогательство и нанесение финансового ущерба. При этом фармкомпании, клиники и аптеки остаются слабо защищёнными от киберугроз.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
UserGate выпустила NGFW для дата-центров с поддержкой 130 тыс. правил
Новость
UserGate выпустила NGFW для дата-центров с поддержкой 130 ты...
Школьницу обвинили в дропперстве и могут посадить на 3 года
Новость
Школьницу обвинили в дропперстве и могут посадить на 3 года
В даркнете растет спрос на аренду аккаунтов MAX
Новость
В даркнете растет спрос на аренду аккаунтов MAX

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.