Byte/RE ИТ-издание

Новости

F.A.C.C.T. об атаках новой группы вымогателей MorLock

Безопасность
--> 139

Компания F.A.C.C.T. сообщила об активизации новой преступной группы вымогателей MorLock. Злоумышленники атакуют российские компании как минимум с начала 2024 г. и в апреле-мае существенно усилили интенсивность атак. Как и группа Muliaka, MorLock использует для распространения программы-вымогателя в сети жертвы популярный корпоративный антивирус.

Первые атаки вымогателей MorLock, по данным специалистов Лаборатории компьютерной криминалистики F.A.C.C.T., были зафиксированы в самом начале 2024 г., с этого момента их жертвами стало уже не менее девяти российских компаний из сегмента среднего и крупного бизнеса.

MorLock специализируется исключительно на шифровании данных в ИТ-инфраструктуре жертвы с использованием программ-вымогателей LockBit 3 (Black) и Babuk. За восстановление доступа атакующие требуют выкуп в десятки и сотни миллионов рублей (правда, в процессе переговоров сумма может быть снижена почти вдвое). Из-за того, что группа не занимается эксфильтрацией – копированием и хищением – данных, атаки MorLock длятся всего несколько дней с момента получения доступа и до начала процесса шифрования данных.

В качестве начального вектора атак злоумышленники использовали уязвимости в публичных приложениях (например, Zimbra), а также доступы, приобретенные на таких закрытых торговых площадках, как Russian Market. В последних атаках для первоначального доступа атакующие воспользовались скомпрометированными учетными данными партнеров пострадавших компаний.

Во всех случаях, если у жертвы был установлен популярный российский корпоративный антивирус, атакующие, получив доступ к его административной панели, отключали антивирусную защиту и использовали данный продукт для распространения программы-вымогателя в сети жертвы.

В отличие от группировки от Shadow, MorLock с самого начала своей активности предпочитала оставаться в тени: в записке с требованием выкупа злоумышленники в качестве контактов указывают только идентификатор для мессенджера Session.

Одна из первых атак MorLock, отмечают эксперты, спровоцировала в конце января серьезный скандал на русскоязычном хакерском форуме XSS.is в связи с атакой на российскую компанию с использованием программы-вымогателя LockBit 3 (Black), что стало нарушением негласного правила русскоговорящих киберпреступников «Не работать по РУ». 

Вам также могут понравиться

Распознавание аудио из мессенджеров в  «СёрчИнформ КИБ»

Интеграция системы киберразведки F.A.C.C.T. с SC SIEM

Сервис BaaS в M1Cloud как защита от шифровальщиков

Новый комплект антивирусных решений PRO32

Отчет BI.ZONE по угрозам за первое полугодие

Обновление системы Anti-DDoS от «Гарда»