“Олимпийская” атака удаляет критически важные документы

Использование актуальных тем для проведения фишинговых атак уже давно стало нормой. Поэтому не удивительно было обнаружить новую кампанию, используя как прикрытие “горячие новости” с Токийской олимпиады. Жертвы получают письма с очень интересными заголовками, переход по ссылкам в которых приводит к загрузке вредоносного ПО, основная цель которого — удаление удаление файлов. 

Так называемый wiper, проникая на компьютер через зараженное письмо, ищет файлы Microsoft Office, файлы, созданные с помощью японского текстового редактора Ichitaro, а также файлы с расширениями TXT, CSV и LOG. В подобных документах часто содержатся пароли, встречаются важные записи и протоколы работы программ. 

Вредоносное ПО выглядит как PDF, но фактически является исполняемым файлом (EXE). Обычно файл носит название типа “[Urgent] Damage report regarding the occurrence of cyber attacks, etc. associated with the Tokyo Olympics.exe.” При запуске файл открывает сайт для взрослых XVideos, стараясь создать ложное впечатление о реальной цели атаки. 

Все больше документов Office оказываются зараженными

Новые данные наблюдений Acronis CPOCs показывают, что несмотря на отключение ботнет-сети Emotet (которое случилось ранее в 2021 году), использование документов Office как способа распространения вредоносного ПО продолжает развиваться. 

По статистике на начало 2020 года около 20% всего вредоносного ПО приходило на компьютеры жертв вместе с документами Office. Однако по данным Netskope Cloud and Threat Report на июль 2021 этот показатель вырос до 43%!

И хотя именно Emotet длительное время был ведущей силой в вопросах распространения вредоносного ПО вместе с зараженными документами, другие группы взяли на вооружение эту методику и продолжили развитие тренда. Да и в целом электронная почта остается одним из ведущих каналов распространения различных вирусов и нежелательных программ.

Поэтому пользователям, как домашним, так и корпоративным, стоит серьезно задуматься о защите своей почты, если меры для этого еще не были приняты. 

LockBit научился применять групповые политики

Последняя версия программы-шифровальщика LockBit обнаружила несколько новых возможностей. Теперь вредоносное ПО может автоматизировать шифрование домена всего домена Windows за счет применения групповых политик Active Directory.

В дополнение к этому печально известное вредоносное ПО теперь может легко отключить Microsoft Defender как раз перед запуском шифрования по всей сети. Группа LockBit также решила воспользоваться трюком Egregor "print bomb" и теперь зараженные системы сразу же распечатывают требования о вкупе на всех подключенных к сети принтерах.

Обычно LockBit требует оплатить порядка $85 000. А широко известно о данной группе стало в апреле, когда им удалось блокировать работу Merseyrail, оператора железных дорог в Ливерпуле и близлежащих районах. Известно, что операторы LockBit делятся 70-80% прибыли от оплаченных выкупов со своими аффилиатами, которые выполняют всю грязную работу по внедрению вредоносного ПО. 

Подобное положение дел привлекает немало внимания к LockBit со стороны “энтузиастов”, и сегодня корпоративным сетям с Windows-доменами и Active Directory как никогда становятся нужны средства бихевиористической защиты с возможностью блокировки подозрительного поведения программ.

Загрузчик MosaicLoader просочился на компьютеры жертв через веб-рекламу

Пользователи, которые ищут в сети пиратское ПО, стали попадать на специальную рекламу, которая ведет к загрузке MosaicLoader. Этот загрузчик, который позволяет далее заразить систему новыми пэйлоадами по выбору злоумышленника.

MosaicLoader — это относительно новая киберугроза, которая, тем не менее, уже была замечена за распространением троянских программ, криптоджекеров и инфостилеров. При этом киберпреступная группа, ответственная за создание таких объявлений, приняла немало усилий для маскировки своего ПО под легитимные программные продукты. 

Заражения MosaicLoader были обнаружены в самых разных странах, и наиболее эффективным методом защиты от новой угрозы оказалась функция URL-фильтрации, которая не позволяет пользователям переходить на зараженные сайты, а значит исключает загрузку MosaicLoader.

Ransomware возрождаются: новые имена и старые приемы

За последний год на противодействие операторам вредоносного ПО было выделено немало усилий. Например, сети Emotet и DarkSide были отключены за счет скоординированных усилий сразу нескольких сторон, Avaddon практически рассыпался, когда были опубликованы 2 934 ключей расшифровки, а DoppelPaymer и REvil, как будто, ушли “в сумрак”.

Но на протяжении последних пары недель появились три "новых" группы операторов Ransomware, которые удивляют очень большими сходствами с группировками недавнего прошлого — Haron, BlackMatter и Grief. При этом  Grief уже успешно атаковали дистрикт Anhalt Bitterfeld в Германии, а также St. Clair County в США.

Опубликованные аналитиками отчеты показывают, что каждая из этих трех новых групп может быть продолжателем дела только что отключенных сетей и платформ. Подозревается, что DoppelPaymer просто переименовали себя в Grief, а Haron оказался очень похож на Avaddon, в то время как BlackMatter демонстрирует похожие черты на DarkSide — а также впитал что-то от REvil.

Для обычных пользователей все это большая проблема, потому что новые виды вредоносного ПО могут просочиться через устаревшие средства защиты, не располагающие бихевиористическими методами обнаружения вредоносной активности. Да и восстановить те файлы, которые успеют зашифровать новые Ransomware без автоматизированной системы резервного копирования будет непросто.