Известный вирус получил новую маску и стал ещё опаснее.
Компания Cisco Talos Для просмотра ссылки Войдиили Зарегистрируйся новую активность киберпреступников, распространяющих модифицированный вариант вымогательского ПО MedusaLocker. Эксперты выявили, что группа действует глобально, но большее число атак было зафиксировано в странах Европы и Южной Америки.
Новый вариант MedusaLocker получил название «BabyLockerKZ». Примечательная особенность этого вредоноса — наличие в пути компиляции слов «paid_memes», которые также встречаются в других инструментах, использованных данными злоумышленниками. Именно этот фактор и позволил Cisco Talos связать атаки и детально изучить деятельность атакующих, оценив их тактику и инструменты.
BabyLockerKZ отличается от классической версии MedusaLocker несколькими особенностями, в том числе изменённым автозапуском и набором дополнительных ключей, хранящихся в реестре. Это указывает на высокую профессиональную подготовку группы и целенаправленный характер атак.
Основной инструментарий злоумышленников состоит как из общедоступных утилит, так и из специализированных инструментов, созданных для кражи данных и перемещений по сети. Некоторые утилиты, например, «Checker», используются для поиска уязвимостей в системе, позволяя атакующим быстро распространяться по сети жертвы.
По оценке специалистов, мотивы группы носят исключительно финансовый характер. Злоумышленники могут действовать как самостоятельные преступники или быть частью крупного картеля, занимающегося вымогательством. С 2022 года группа активно атакует различные организации. В первой половине 2023 года объем их атак вырос вдвое, но затем снова снизился в начале 2024 года.
В своих кибероперациях злоумышленники активно используют ряд инструментов, включая HRSword для отключения антивирусного ПО, Advanced Port Scanner для сканирования сети, а также такие программы, как ProcessHacker и Mimikatz. Многие из этих инструментов активно применяются для атаки на учётные данные и дальнейшего распространения по системе.
Тесное использование одних и тех же инструментов в комбинации с постоянной сменой регионов атак указывает на высокую организованность и эффективность действий киберпреступников. Компаниям в зоне риска рекомендуется усилить мониторинг безопасности и применять специализированные решения для своевременного выявления и блокировки подобных угроз.
Компания Cisco Talos Для просмотра ссылки Войди
Новый вариант MedusaLocker получил название «BabyLockerKZ». Примечательная особенность этого вредоноса — наличие в пути компиляции слов «paid_memes», которые также встречаются в других инструментах, использованных данными злоумышленниками. Именно этот фактор и позволил Cisco Talos связать атаки и детально изучить деятельность атакующих, оценив их тактику и инструменты.
BabyLockerKZ отличается от классической версии MedusaLocker несколькими особенностями, в том числе изменённым автозапуском и набором дополнительных ключей, хранящихся в реестре. Это указывает на высокую профессиональную подготовку группы и целенаправленный характер атак.
Основной инструментарий злоумышленников состоит как из общедоступных утилит, так и из специализированных инструментов, созданных для кражи данных и перемещений по сети. Некоторые утилиты, например, «Checker», используются для поиска уязвимостей в системе, позволяя атакующим быстро распространяться по сети жертвы.
По оценке специалистов, мотивы группы носят исключительно финансовый характер. Злоумышленники могут действовать как самостоятельные преступники или быть частью крупного картеля, занимающегося вымогательством. С 2022 года группа активно атакует различные организации. В первой половине 2023 года объем их атак вырос вдвое, но затем снова снизился в начале 2024 года.
В своих кибероперациях злоумышленники активно используют ряд инструментов, включая HRSword для отключения антивирусного ПО, Advanced Port Scanner для сканирования сети, а также такие программы, как ProcessHacker и Mimikatz. Многие из этих инструментов активно применяются для атаки на учётные данные и дальнейшего распространения по системе.
Тесное использование одних и тех же инструментов в комбинации с постоянной сменой регионов атак указывает на высокую организованность и эффективность действий киберпреступников. Компаниям в зоне риска рекомендуется усилить мониторинг безопасности и применять специализированные решения для своевременного выявления и блокировки подобных угроз.
- Источник новости
- www.securitylab.ru