Сегодня мы расскажем о новой версии троянской программы, созданной специально для заражения стримингового ПО, а также о развитии одного из давно известных ботнетов. Кроме этого специалисты Acronis CPOCs зарегистрировали две крупные атаки Ransomware, нацеленные на правительственные структуры и крупного продавца модной одежды.
Новый троян заражает стриминговое ПО
Фреймворк OBS Studio — популярный компонент, входящий в состав различного ПО для стриминга. И на прошедшей неделе он был заражен новым, ранее неизвестным трояном. Программа BIOPASS Rat позволяет перехватывать изображение на экране жертвы и передавать его на сервер, выбранный атакующими.
BIOPASS RAT предоставляет злоумышленникам стандартные возможности, такие как удаленный доступ к рабочему столу, возможность выполнения произвольных команд, скачивание важной информации, а также функции кражи данных из браузера и чатов. Все это стало возможным за счет непредусмотренной схем использования объектного сервиса хранения (OSS) в Alibaba Cloud. Злоумышленники разместили в облаке вредоносные скрипты, которые позволяют хранить данные, загруженные с компьютеров жертв.
BIOPASS RAT выдает себя за обновление Adobe Flash Player, Microsoft Silverlight или другого хорошо известного пользователям приложения. Кроме этого вредоносное ПО часто загружается в качестве дополнительного кода JavaScript на страницах поддержки игровых сайтов.
Известный ритейлер и производитель одежды был атакован Darkside Ransomware
Международный ритейлер и производитель одежды Guess недавно начал информировать своих покупателей об утечке данных, которая произошла после атаки Ransomware. Бренд насчитывает 1 000 магазинов по всему миру, в компании работает свыше 14 000 сотрудников, а прибыль организации превышает $2,4 миллиарда. Поэтому Guess можно смело считать крупной целью для злоумышленников.
По проведенным оценкам хакеры украли около 200 Гигабайт персональной и финансовой информации о покупателях Guess. В числе “просочившихся” через периметра данных - номера счетов, кредитных и платежных карт, пинкоды, секретные вопросы и ответы на них, а также коды доступа. По всем признакам атаку совершила группа DarkSide, которая через некоторое время назад опубликовала данные об утечке на своем сайте.
Grief ransomware has German district in emergency state
Глава одного из немецких округов Анхальт Биттерфильд (Anhalt Bitterfeld) официально сообщил о чрезвычайном положении, или, если цитировать чиновника дословно, о “кибер-катастрофе”. Муниципальное образование было атаковано Grief Ransomware, и 158 000 резидентов округа остались без сервиса государственной поддержки.
Внутренние сервисы и системы доступа к единой службе “900” были отключены, и на протяжении целой недели граждане смогут обращаться за помощью исключительно по телефону. По крайней мере, именно за такой срок специалисты планируют восстановить работу ИТ-сервисов. Вероятно, причиной заражения стала уязвимость PrintNightmare, о которой ранее сообщала корпорация Microsoft.
Сама киберпреступная группа Grief начала работать недавно, буквально в 2021 году. И как большинство других современных криминальных группировок, распространяющих Ransomware, Grief также занимаются кражей данных. В частности, по мотивам атаки на правительственные структуры муниципалитета они уже опубликовали 200 Мегабайт украденных данных.
Старый бот, новые приемы
Trickbot, о котором мы говорили в прошлом дайджесте, продолжает развиваться. Теперь это уже не просто банковский троян, каким он был в 2016 году. После доработки злоумышленниками он стал отличаться более широким набором функций и, как следствие, стал самым популярным пейлоадом для загрузки вместе с различными версиями Ransomware после отключения сети ботнетов Emotet ранее в текущем году.
Таким образом, Trickbot можно считать одним из наиболее популярных экземпляров вредоносного ПО, который в 2021 году заразил 7% компаний по всему миру. Во многом это стало результатом расширения деятельности группировок шифровальщиков, которые увеличили частоту своих атак на 93% за последние 12 месяцев. Ведь в наше время почти всегда в комплекте с Ransomware поставляется еще и дополнительная утилита для загрузки важной информации.
Так или иначе, но проект Trickbot находится в стадии постоянного развития. Это позволило сети избежать двух попыток отключения, которые предпринимали Microsoft и U.S. Cyber Command. В самой последней версии вредоносного ПО был обновлен модуль VNC, который изменил характер взаимодействия бота с серверами C&C. Он позволяет получать различные команды, загружать дополнительные пейлоады и скачивать данные с компьютера жертвы. В последней версии есть даже "viewer tool" -- инструмент, который позволяет шпионить за жертвами или даже взаимодействовать с ними. То есть хакер может внезапно написать сообщение или запустить видео, заняться шантажом с полным размахом.