Недавно исследовательская команда MalwareHunterTeam обнаружила новую хакерскую операцию с применением шифровальщика, названную «DarkSide», в ходе которой проходят таргетированные атаки и выдвигаются требования выкупа в миллионы долларов. Сходство в исходном коде шифровальщика подразумевает, что злоумышленники могут быть последователями GandCrab и REvil ransomware.
Как действуют хакеры?
Новая группа «DarkSide» атакует многочисленные компании и пытается получить доступ к учетной записи администратора и контроллеру домена Windows в скомпрометированной сети.
- Проникнув за периметр, злоумышленники собирают незашифрованные данные с серверов жертв и выгружают их на свои собственные сервера.
- По словам Виталия Кремеза из компании Advanced Intel, «DarkSide» закрывает различные базы данных, офисные приложения и почтовые клиенты, чтобы подготовить машину жертвы к шифрованию.
- Требования о выкупе варьируются от 200 000 до 2 000 000 долларов. Хакеры также ведут «список утечек» на специальном сайте, где они перечисляют названия взломанных компаний, публикуют информацию о дате взлома и скриншоты в качестве доказательства.
Заявления хакеров
«DarkSide» утверждали, что заработали миллионы долларов, работая с другими известными шифровальщиками.
- Они заявили, что ищут новый отвечающий их требованиям продукт и поэтому создали это вредоносное ПО.
- В пресс-релизе также говорится о том, что злоумышленники планируют избежать нападения на некоторые отрасли, например здравоохранение, образование, правительственные и некоммерческие организации.
Возможная связь с REvil и GandCrab
- «DarkSide» намеренно избегают проведения атак в странах СНГ. Исходный код для проверки страны аналогичен коду, используемому в REvil и GandCrab.
- Кроме того, в сообщении с требованием выкупа, вредонос «DarkSide» использует почти тот же шаблон, что и в сообщении о выкупе REvil.
Взлет активности шифровальщиков
В последние несколько месяцев наблюдается резкое увеличение числа атак шифрованием с требованием выкупа. С одной стороны, на рынке появилось большое количество новых программ-вымогателей, таких как VHD, Ensiko и некоторые другие, а с другой стороны, почти все крупные правоохранительные органы, такие как Интерпол и ФБР, выступали с предупреждениями пользователей о резком увеличении связанной с вымогательством деятельности.
Меры безопасности
Для защиты от постоянно растущего риска заражения шифровальщиками, организациям необходимо применять экстренные меры, такие как частое резервное копирование данных, многофакторная аутентификация, а также использование решений по обнаружению и предотвращению вторжений.
Перевод сделан со статьи https://cyware.com/
