Когда Мейз уходит на пенсию, клиенты обращаются к Egregor, дочернему производителю программы-вымогателя Sekhmet

Поскольку разработчики программы-вымогателя Maze объявляют об уходе со сцены вредоносного ПО, считается, что клиенты теперь обращаются к Egregor в качестве замены.

Группа Maze стала разрушительной силой для компаний, ставших жертвами киберпреступников за последний год.

Что отличало Maze в прошлом от многих других групп угроз, так это практика после заражения. Maze атаковал корпоративный ресурс, зашифровал файлы или просто сосредоточился на краже конфиденциальных данных, а затем потребовал оплаты — часто достигающий шестизначной цифры -- в криптовалюте.

Если попытки вымогательства потерпят неудачу, группа создаст запись на специальном портале Dark Web и опубликует украденные данные.

Канон, LG и Xerox Сообщается, что они входят в число организаций, ранее пострадавших от Maze.

Смотрите также: Операторы программ-вымогателей теперь передают эксплойты доступа к сети сторонним организациям для ускорения атак

Однако 1 ноября группа Maze объявила о своем «уходе из жизни», отметив, что «официального преемника» нет, а поддержка вредоносного ПО прекратится через месяц.

Малваребайты заметил падение заражений с августа, и поэтому говорят, что уход со сцены «не совсем» неожиданный шаг.

Однако это не означает, что предыдущие клиенты Maze также уйдут с рынка. исследователи подозревают, что «многие из их филиалов переехали в новую семью», известную как Эгрегор, спин-офф Выкуп. Сехмет.

По данным анализа, проведенного от Appgate, Эгрегор активен с середины сентября этого года и за это время был связан с предполагаемыми атаками на организации, включая GEFCO и Барнс и Ноубл.

Egregor также ассоциируется с моделью «Вымогатели как услуга» (RaaS), в которой клиенты могут подписаться на доступ к вредоносному ПО. Согласно образцам требований о выкупе, после того как жертва была заражена и ее файлы зашифрованы, операторы требуют, чтобы она установила контакт через Tor или специальный веб-сайт для организации оплаты.

vrenture.com/: Выборы 2020: ответы на ваши вопросы о кибербезопасности

Кроме того, в записке содержится угроза, что, если выкуп не будет выплачен в течение трех дней, украденные данные будут обнародованы.

Эгрегор использует ряд методов защиты от запутывания и упаковки полезной нагрузки, чтобы избежать анализа. Функциональность программы-вымогателя считается аналогичной Sekhmet.

«На одном из этапов выполнения полезная нагрузка Эгрегора может быть расшифрована только в том случае, если в командной строке процесса указан правильный ключ, а это означает, что файл невозможно проанализировать ни вручную, ни с использованием «песочницы», если не предоставлена ​​та же самая командная строка, которую злоумышленники использовали для запуска программы-вымогателя», — говорят исследователи. отмеченный.

Техреспублика: В этот день выборов это настоятельная просьба: не нажимайте на программы-вымогатели, замаскированные под политическую рекламу.

В то время как партнеры переходят на Эгрегор, Malwarebytes предупреждает, что это, возможно, не последний раз, когда мы видим Maze в качестве активной угрозы.

«История показала нам, что когда преступная группа решает закрыть свои двери, это редко происходит потому, что преступники увидели ошибку по-своему, и чаще всего это связано с новой, более мощной угрозой, которую предпочли бы использовать злоумышленники», — говорят исследователи. примечание. «Итак, поскольку сейчас компании подвергаются атаке очередного вируса-вымогателя, а у жертв прошлого нет никаких признаков надежды, мы не видим причин особенно радоваться этому».

Предыдущее и связанное освещение

• Число программ-вымогателей растет: вот четыре способа проникновения злоумышленников в ваши системы
  
• Программы-вымогатели: если вас ударили, ваш бизнес уже никогда не станет прежним
  
• Эта крупная преступная хакерская группа только что переключилась на атаки с использованием программ-вымогателей.
  

---

Есть подсказка? Безопасная связь через WhatsApp | Позвоните по номеру +447713 025 499 или по телефону Keybase: charlie0.

---