Нацеленный на VMware ESXi шифровальщик Cicada3301 за лето собрал 19 жертв

Нацеленный на VMware ESXi шифровальщик Cicada3301 за лето собрал 19 жертв

Нацеленный на VMware ESXi шифровальщик Cicada3301 за лето собрал 19 жертв

Написанный на Rust вредонос Cicada3301 вооружен шифраторами для Windows и Linux/VMware ESXi. Он предоставляется в пользование как услуга (Ransomware-as-a-Service, RaaS) и за три месяца поразил 19 организаций (атаки в СНГ по условиям подписки запрещены).

Первые случаи применения Cicada3301 были зафиксированы в начале июня. В конце того же месяца на хакерском форуме Ramp появилось объявление о запуске партнерской программы на основе данного шифровальщика.

 

Проведенный в Truesec анализ Linux-версии зловреда выявил большое сходство с ALPHV/BlackCat (минувшей весной операторы этого RaaS скрылись, украв $22 млн у одного из аффилиатов; такие случаи в мире киберкриминала известны как exit scam).

Оба шифровальщика написаны на Rust, умеют выключать ВМ и удалять снепшоты, работают по алгоритму ChaCha20, одинаково именуют записки с требованием выкупа и используют прерывистое шифрование на тяжелых файлах.

 

Ключи шифрования Cicada3301 генерирует случайным образом (с помощью функции OsRng) и защищает их по RSA. Обработке подвергаются все найденные документы и мультимедийные файлы; если размер превышает 100 Мбайт, применяется прерывистое шифрование. К имени зашифрованных файлов добавляется расширение из семи произвольных знаков.

Аффилиатам предоставляется возможность отсрочки запуска шифратора (для большей скрытности) и шифрования ВМ без отключения / стирания текущего состояния (деструктивные функции зловреда по умолчанию включены).

Свои победы они могут фиксировать на специальном сайте утечек; эксперты также не исключают, что у нового RaaS имеется свой брокер доступа к сетям, вооруженный инструментом брутфорса.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Контроль 24/7: Ростелеком и Солар обновили сервис мониторинга утечек данных

«Ростелеком» совместно с группой компаний «Солар» обновил сервис, который позволяет отслеживать утечки персональных данных. Теперь он работает круглосуточно и сразу сообщает абоненту, если его данные оказались в открытом доступе. Это помогает вовремя отреагировать и снизить риск мошенничества или других проблем.

Проверке можно подвергнуть не только информацию из личного кабинета, но и до пяти дополнительных номеров телефона или адресов электронной почты.

Если данные «всплывают» в сети, пользователь получает уведомление, а вместе с ним — рекомендации, например, поменять пароли или принять другие меры.

В отчёте, который формируется при срабатывании сервиса, указывается источник утечки, дата инцидента и тип скомпрометированной информации — при этом личные данные маскируются. Это помогает понять, что именно оказалось под угрозой и насколько серьёзна ситуация.

Скоро у абонентов «Ростелекома» появятся и дополнительные инструменты для онлайн-защиты.

По словам представителей компаний, с такими сервисами пользователи могут не только узнавать о потенциальных угрозах, но и вовремя принимать меры. В условиях, когда утечки данных стали обычным делом, это особенно важно — как для самих пользователей, так и для их близких.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru