- 13,850
- 20
- 8 Ноя 2022
Зачем вымогатели каждый день звонят руководителю?
Компания Halcyon Для просмотра ссылки Войдиили Зарегистрируйся о новой группе вымогателей Volcano Demon, которая за последние 2 недели совершила как минимум 2 успешные атаки. Целями группы стали компании из производственной и логистической отраслей.
Особенность группы Volcano Demon заключается в том, что она не использует публичные сайты для утечек данных, а предпочитает запугивать и вести переговоры с руководством пострадавших организаций по телефону. Звонки поступают с неопределённых номеров и зачастую имеют угрожающий характер.
Перед звонками хакеры Volcano Demon шифруют файлы на системах жертв с помощью ранее неизвестного вируса-шифровальщика LukaLocker (Linux-версия) и оставляют записку с требованием выкупа: «Если вы проигнорируете этот инцидент... мы позаботимся о том, чтобы ваши клиенты и партнёры узнали обо всём, а атаки продолжатся. Некоторые данные будут проданы мошенникам, которые будут атаковать ваших клиентов и сотрудников».
Записка с требованием выкупа Volcano Demon
Группа Volcano Demon блокирует рабочие станции и серверы на Windows, используя общие административные учётные данные, полученные из сети. Volcano Demon применяет технику двойного вымогательства, чтобы увеличить вероятность получения выкупа. Сначала злоумышленники эксфильтруют данные жертв на свои серверы, а затем шифруют файлы.
Образец LukaLocker представляет собой PE-файл, написанный и скомпилированный с использованием C++. Программа-вымогатель LukaLocker использует обфускацию API и динамическое разрешение API для сокрытия своих вредоносных функций — избегая обнаружения, анализа и реверс-инжиниринга.
Отслеживание группы вымогателей Volcano Demon представляет значительные трудности, поскольку киберпреступники стирают журналы событий на целевых машинах перед началом эксплуатации, что делает криминалистическую экспертизу практически невозможной.
Отмечается, что хакеры разговаривают с сильным акцентом, но определить их происхождение без записей, которые на данный момент отсутствуют, очень сложно. Вымогатели звонят очень часто, а в некоторых случаях почти ежедневно. Halcyon не может поделиться подробностями переговоров между злоумышленниками и жертвами.
Пока не ясно, действует ли группа Volcano Demon самостоятельно или является филиалом известной группы вымогателей. На данный момент Halcyon не удалось установить такие связи.
Компания Halcyon Для просмотра ссылки Войди
Особенность группы Volcano Demon заключается в том, что она не использует публичные сайты для утечек данных, а предпочитает запугивать и вести переговоры с руководством пострадавших организаций по телефону. Звонки поступают с неопределённых номеров и зачастую имеют угрожающий характер.
Перед звонками хакеры Volcano Demon шифруют файлы на системах жертв с помощью ранее неизвестного вируса-шифровальщика LukaLocker (Linux-версия) и оставляют записку с требованием выкупа: «Если вы проигнорируете этот инцидент... мы позаботимся о том, чтобы ваши клиенты и партнёры узнали обо всём, а атаки продолжатся. Некоторые данные будут проданы мошенникам, которые будут атаковать ваших клиентов и сотрудников».
Записка с требованием выкупа Volcano Demon
Группа Volcano Demon блокирует рабочие станции и серверы на Windows, используя общие административные учётные данные, полученные из сети. Volcano Demon применяет технику двойного вымогательства, чтобы увеличить вероятность получения выкупа. Сначала злоумышленники эксфильтруют данные жертв на свои серверы, а затем шифруют файлы.
Образец LukaLocker представляет собой PE-файл, написанный и скомпилированный с использованием C++. Программа-вымогатель LukaLocker использует обфускацию API и динамическое разрешение API для сокрытия своих вредоносных функций — избегая обнаружения, анализа и реверс-инжиниринга.
Отслеживание группы вымогателей Volcano Demon представляет значительные трудности, поскольку киберпреступники стирают журналы событий на целевых машинах перед началом эксплуатации, что делает криминалистическую экспертизу практически невозможной.
Отмечается, что хакеры разговаривают с сильным акцентом, но определить их происхождение без записей, которые на данный момент отсутствуют, очень сложно. Вымогатели звонят очень часто, а в некоторых случаях почти ежедневно. Halcyon не может поделиться подробностями переговоров между злоумышленниками и жертвами.
Пока не ясно, действует ли группа Volcano Demon самостоятельно или является филиалом известной группы вымогателей. На данный момент Halcyon не удалось установить такие связи.
- Источник новости
- www.securitylab.ru