По данным Sophos, вымогатель использует группировка, нацеленная на бизнес. В пример приводят атаку на поставщика электроэнергии Energias de Portugal. Предположительно у них украли 10 терабайт данных, а за расшифровку киберпреступники потребовали 1580 биткойнов. В СМИ операция с виртуальной машиной описана как эффективный трюк для обхода антивирусного ПО. Но на деле такая «инновация» не требует каких-либо изменений в технологиях защиты.
Необходимо только правильное применение существующих.
В отчете компании не сказано, как именно происходит заражение компьютера. Чтобы запустить вредоносный объект, нужно либо убедить пользователя это сделать, либо воспользоваться уязвимостью. Есть только намек на эксплуатацию дыр или простых паролей для RDP-соединения. Упоминаются также атаки на поставщиков услуг (Managed Service Providers), иными словами — удаленных администраторов из другой компании, у которых есть полный доступ к инфраструктуре потенциальной жертвы. Достаточно взломать такую организацию, чтобы получить возможность атаковать ее клиентов.
А дальше все просто. На компьютер устанавливается виртуальная машина Oracle Virtualbox, причем невероятно древняя — релиз 2009 года, еще от имени компании Sun. С помощью скрипта передаются параметры конфигурации виртуальной машины. Запускается урезанный образ ОС Windows XP (MicroXP 0.82, сборка 2008 года). Устанавливается виртуальное сетевое соединение и поднимается доступ ко всем дискам на хосте:
Процесс шифрования в публикации Sophos не описан. Перед ним еще один скрипт закрывает по списку приложения и сервисы на основной системе, чтобы снять блокировку с редактируемых файлов. В конце на атакованный компьютер кладется текстовый файл с требованием выкупа.
Продвинутых технологий здесь нет: это подготовленная виртуальная машина и кучка скриптов. С точки зрения защитного решения такая атака принципиально не отличается от появления в корпоративной сети зараженного компьютера с доступом к сетевым папкам. Да, есть нюанс — явно вредоносный софт на атакуемой машине даже не появляется: он спрятан внутри виртуального образа, а запускается только легитимное ПО.
Проблема решается анализом поведения программы или действий с удаленного компьютера на предмет четких маркеров «я хочу здесь что-то зашифровать». Любопытный способ сэкономить на разработке сложных вредоносных технологий.
Что еще произошло
Издание The Register детали атаки на авиакомпанию EasyJet. В период между октябрем 2019 года и январем 2020-го злоумышленники украли данные о кредитных картах относительно небольшого числа клиентов (по официальным данным — около 2200). Судя по сообщениям пострадавших, утечка информации о бронированиях (но не платежных данных) затронула миллионы пользователей.
Компания Trustwave , что злоумышленники используют сервис Google Firebase. Сервис, созданный для разработчиков, используют для хостинга фишинговых страниц. Это только одна из многих попыток воспользоваться легитимными инструментами Google в рамках кибератак.
Киберпреступники атакуют сервисы для выплаты компенсаций пострадавшим от пандемии. Свежий (но не единственный) — атаки на государственные сервисы в США. Группировка, предположительно действующая из Нигерии, использует данные жителей и компаний, направляя компенсации на свой банковский счет.
предполагаемый распространитель базы логинов и паролей, известной как Collection 1. Изначально доступная на черном рынке, эта база из 773 миллионов записей попала в открытый доступ в январе прошлого года.
Исследователи из Великобритании, Германии и Швейцарии нашли новые уязвимости в протоколе Bluetooth (, исследовательская ). Недостатки в процессе авторизации позволяют атакующему имитировать устройство, с которым жертва уже устанавливала связь. Проблема подтвердилась на выборке из 31 устройства с Bluetooth, на 28 разных чипсетах.
