Byte/RE ИТ-издание

Новости

Обновленный инструмент для жертв шифровальщика Conti

Безопасность
--> 92

Компания «Лаборатория Касперского» обновила общедоступный инструмент расшифровки для жертв программы-шифровальщика Conti. Он известен с конца 2019 г., и в 2020 г. на его долю пришлось более 13% всех жертв таких программ. В 2022 г. произошла утечка исходного кода этого ПО, после чего злоумышленники начали создавать модификации на его основе и использовать их в своих атаках.

Версия Conti, для которой «Лаборатория Касперского» сейчас обновила утилиту, использовалась для атак на коммерческие компании и государственные учреждения. Приватные ключи эксперты обнаружили зимой 2022 г. в результате анализа утекших данных, в которых содержались 258 закрытых ключей, исходный код и несколько предварительно скомпилированных декрипторов. На основе этих приватных ключей «Лаборатория Касперского» выпустила новую версию публичной утилиты для расшифровки файлов.

При анализе данных выяснилось, что утекшие ключи располагаются в 257 папках, только одна из которых содержит два ключа, а прочие – по одному. Некоторые папки содержат декрипторы и несколько обычных файлов, в том числе документы и фотографии. Возможно, это тестовые файлы, которые жертвы отправляли злоумышленникам, чтобы те могли убедиться, что файлы поддаются расшифровке. Если предположить, что одна папка соответствует одной жертве и что декрипторы были созданы лишь для тех жертв, кто заплатил выкуп, то это может означать, что злоумышленники получили деньги от 14 из 257 жертв.

Код для расшифровки файлов и все 258 ключей добавлены в последнюю сборку утилиты RakhniDecryptor 1.40.0.00.

Чтобы защититься от атак с использованием программ-вымогателей, специалисты «Лаборатории Касперского» рекомендуют:

  • запретить подключаться к службам удаленного рабочего стола (таким как RDP) из общественных сетей, если в этом нет серьезной необходимости, и использовать надежные пароли для таких служб;
  • регулярно обновлять ПО на всех используемых устройствах, чтобы предотвратить эксплуатацию уязвимостей;
  • отслеживать перемещения по сети и передачу данных в интернет; обращать особое внимание на исходящий трафик, чтобы выявлять коммуникации злоумышленников;
  • регулярно выполнять резервное копирование данных и убедиться, что в экстренной ситуации можно быстро получить доступ к бэкапу;
  • использовать решения, которые позволяют распознать и остановить атаку на ранней стадии, до того, как атакующие достигнут своих целей;
  • использовать актуальные данные Threat Intelligence, чтобы оставаться в курсе современных техник и тактик, используемых злоумышленниками.
Вам также могут понравиться

OCS – дистрибьютор продуктов «Лаборатории Касперского»

Комплексное решение InfoWatch для ИБ-специалистов

F.A.C.C.T. о новой группе кибершпионов – PhantomCore

F.A.C.C.T. о новых атаках на клиентов банков

ГК «Солар» о фейковых сайтах для атак на маркетплейсы

Новая версия Innostage Orchestrator