«Выход на пенсию» программы-вымогателя оставил дыру, на которой операторы Эгрегора могут заработать.
Поскольку разработчики программы-вымогателя Maze объявляют об уходе со сцены вредоносного ПО, считается, что клиенты теперь обращаются к Egregor в качестве замены.
Безопасность
- 8 привычек высокозащищенных удаленных работников
- Как найти и удалить шпионское ПО с телефона
- Лучшие VPN-сервисы: как сравнить пятерку лучших?
- Как узнать, причастны ли вы к утечке данных, и что делать дальше
Группа Maze стала разрушительной силой для компаний, ставших жертвами киберпреступников за последний год.
Что отличало Maze в прошлом от многих других групп угроз, так это практика после заражения. Maze атаковал корпоративный ресурс, зашифровал файлы или просто сосредоточился на краже конфиденциальных данных, а затем потребовал оплаты — часто достигающий шестизначной цифры -- в криптовалюте.
Если попытки вымогательства потерпят неудачу, группа создаст запись на специальном портале Dark Web и опубликует украденные данные.
Канон, LG и Xerox Сообщается, что они входят в число организаций, ранее пострадавших от Maze.Смотрите также: Операторы программ-вымогателей теперь передают эксплойты доступа к сети сторонним организациям для ускорения атак
Однако 1 ноября группа Maze объявила о своем «уходе из жизни», отметив, что «официального преемника» нет, а поддержка вредоносного ПО прекратится через месяц.
Малваребайты заметил падение заражений с августа, и поэтому говорят, что уход со сцены «не совсем» неожиданный шаг.
Однако это не означает, что предыдущие клиенты Maze также уйдут с рынка. исследователи подозревают, что «многие из их филиалов переехали в новую семью», известную как Эгрегор, спин-офф Выкуп. Сехмет.
По данным анализа, проведенного от Appgate, Эгрегор активен с середины сентября этого года и за это время был связан с предполагаемыми атаками на организации, включая GEFCO и Барнс и Ноубл.
Egregor также ассоциируется с моделью «Вымогатели как услуга» (RaaS), в которой клиенты могут подписаться на доступ к вредоносному ПО. Согласно образцам требований о выкупе, после того как жертва была заражена и ее файлы зашифрованы, операторы требуют, чтобы она установила контакт через Tor или специальный веб-сайт для организации оплаты.
vrenture.com/: Выборы 2020: ответы на ваши вопросы о кибербезопасности
Кроме того, в записке содержится угроза, что, если выкуп не будет выплачен в течение трех дней, украденные данные будут обнародованы.
Эгрегор использует ряд методов защиты от запутывания и упаковки полезной нагрузки, чтобы избежать анализа. Функциональность программы-вымогателя считается аналогичной Sekhmet.
«На одном из этапов выполнения полезная нагрузка Эгрегора может быть расшифрована только в том случае, если в командной строке процесса указан правильный ключ, а это означает, что файл невозможно проанализировать ни вручную, ни с использованием «песочницы», если не предоставлена та же самая командная строка, которую злоумышленники использовали для запуска программы-вымогателя», — говорят исследователи. отмеченный.
Техреспублика: В этот день выборов это настоятельная просьба: не нажимайте на программы-вымогатели, замаскированные под политическую рекламу.
В то время как партнеры переходят на Эгрегор, Malwarebytes предупреждает, что это, возможно, не последний раз, когда мы видим Maze в качестве активной угрозы.
«История показала нам, что когда преступная группа решает закрыть свои двери, это редко происходит потому, что преступники увидели ошибку по-своему, и чаще всего это связано с новой, более мощной угрозой, которую предпочли бы использовать злоумышленники», — говорят исследователи. примечание. «Итак, поскольку сейчас компании подвергаются атаке очередного вируса-вымогателя, а у жертв прошлого нет никаких признаков надежды, мы не видим причин особенно радоваться этому».
Предыдущее и связанное освещение
-
Число программ-вымогателей растет: вот четыре способа проникновения злоумышленников в ваши системы
-
Программы-вымогатели: если вас ударили, ваш бизнес уже никогда не станет прежним
-
Эта крупная преступная хакерская группа только что переключилась на атаки с использованием программ-вымогателей.
Есть подсказка? Безопасная связь через WhatsApp | Позвоните по номеру +447713 025 499 или по телефону Keybase: charlie0.