СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Новости
Артем
07.10.2024
#ИБ

Хакеры начали атаковать компании по всему миру с использованием новой версии программы-вымогателя MedusaLocker

Хакеры начали атаковать компании по всему миру с использованием новой версии программы-вымогателя MedusaLocker

Image: OpenAI

Специалисты по информационной безопасности Cisco Talos заявили, что финансово мотивированные хакеры атаковали организации по всему миру с помощью модернизированной версии программы-вымогателя MedusaLocker. Вариант вредоносного ПО, известный как «BabyLockerKZ», существует по крайней мере с конца 2023 года, и это первый случай, когда его конкретно называют разновидностью шифровальщика MedusaLocker.

По словам экспертов по кибербезопасности, этот вариант вымогательского программного обеспечения использует те же URL-адреса чата и сайта утечки, что и оригинальный вирус-вымогатель MedusaLocker. Однако вредонос использует другой ключ автозапуска или дополнительный набор открытых и закрытых ключей, хранящийся в реестре.

В Cisco Talos уточняют, что хакеры, использующие вымогательское ПО BabyLockerKZ, действуют как минимум с 2022 года. Изначально они сосредотачивались на проведении атак против компаний, которые располагались во Франции, Германии, Испании и Италии. Со второго квартала 2023 года их внимание было сосредоточено преимущественно на южноамериканских странах, в том числе на Колумбии, Аргентине, Мексике и Бразилии. Подобный подход позволил хакерской группировке удвоить количество успешно атакованных организаций.

В Cisco Talos заявили, что группировка BabyLockerKZ использует несколько общеизвестных инструментов атак и нелегальных двоичных файлов для кражи учётных данных и горизонтального перемещения в скомпрометированных организациях. Эти инструменты в основном представляют собой оболочки для общедоступных средств, которые имеют дополнительные функции для оптимизации процесса атаки и предоставляют графический интерфейс или интерфейс командной строки.

Среди общеизвестных инструментов, используемых хакерами, — HRSword_v5.0.1.1.rar, применяемый для отключения программного обеспечения AV и EDR, а также Advanced_Port_Scanner_2.5.3869.exe — инструмент сканирования сетей с несколькими дополнительными функциями для составления карт внутренних сетей и устройств.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: