Новости Тьма наступает: новая группа вымогателей MorLock увеличила интенсивность атак на российский бизнес

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
54.789
Репутация
62.390
Реакции
276.952
RUB
0
2a4aca16ab9b73bdbd4b1f70f1f810ca.png

F.A.C.C.T., разработчик технологий для борьбы с киберпреступлениями, об активизации новой преступной группы вымогателей MorLock. Злоумышленники атакуют российские компании как минимум с начала 2024 года и в апреле-мае существенно усилили интенсивность своих атак. Как и группа Muliaka, MorLock используют для распространения программы-вымогателя в сети жертвы популярный корпоративный антивирус.

Первые атаки вымогателей MorLock, по данным специалистов Лаборатории компьютерной криминалистики компании F.A.C.C.T., были зафиксированы в самом начале 2024 года и с этого момента их жертвами стало уже не менее 9 российских компаний из сегмента среднего и крупного бизнеса.

MorLock специализируется исключительно на шифровании данных в ИТ-инфраструктуре жертвы с использованием программ-вымогателей LockBit 3 (Black) и Babuk. За восстановление доступа атакующие требуют выкуп, размер которого может составлять десятки и сотни миллионов рублей. Правда, в процессе переговоров сумма может быть снижена почти вдвое.

Из-за того, что группа не занимается эксфильтрацией — копированием и хищением — данных, атаки MorLock длятся всего несколько дней с момента получения доступа и до начала процесса шифрования данных.

В качестве начального вектора атак злоумышленники использовали уязвимости в публичных приложениях (например, Zimbra), а также доступы, приобретенные на таких закрытых торговых площадках, как, например, Russian Market. В последних атаках в качестве первоначального доступа атакующие воспользовались скомпрометированными учетными данными партнеров пострадавших компаний.

Во всех случаях, если у жертвы был установлен популярный российский корпоративный антивирус, атакующие, получив доступ к его административной панели, отключали антивирусную защиту и использовали данный продукт для распространения программы-вымогателя в сети жертвы.

Изгнаны с позором

В отличие от группировки от Shadow, MorLock с самого начала своей активности решила не светить «бренд» и предпочитала оставаться в тени: в записке с требованием выкупа злоумышленники в качестве контактов указывают только идентификатор для мессенджера Session.

Рис. 1. Текст одной и записок с требованием выкупа MorLock.

Рис. 1. Текст одной и записок с требованием выкупа MorLock.
Однако уже одна из первых атак MorLock спровоцировала в конце января нешуточный скандал — " " на русскоязычном хакерском форуме XSS.is в связи с атакой на российскую компанию с использованием программы-вымогателя LockBit 3 (Black), нарушив негласное правило русскоговорящих киберпрестпуников «Не работать по РУ». По итогам обсуждения администраторы форума заблокировали аккаунты участников, связанных с атаками на Россию (рис. 2).



Рис. 2. Сообщение администратора о блокировке аккаунтов на XSS.is.

Рис. 2. Сообщение администратора о блокировке аккаунтов на .

Некоторые из этих участников были непосредственно связаны с группой MorLock.

Рис. 3. Сообщение одного из забаненных участников форума.

Рис. 3. Сообщение одного из забаненных участников форума.

Список инструментов, технические подробности и индикаторы компрометации MorLock представлены на криминалистов компании F.A.C.C.T.









 
Сверху Снизу