Вымогательское ПО LockerGoga в ходе атаки «выполняло задачи, препятствовашие монетизированию заражения».
Операторы вымогательского ПО LockerGoga, ранее атаковавшие крупного производителя алюминия Norsk Hydro, возможно, намеревались не потребовать у него деньги, а нарушить работу компьютерных систем. Как предполагают специалисты из ИБ-компании Dragos, атака могла быть делом рук спонсируемых правительством киберпреступников.
Новая версия вымогателя, замеченная в ходе атаки на Norsk Hydro, «выполняла задачи, препятствовашие монетизированию заражения». Пароли локальных учетных записей пользователей и администраторов были изменены на одно и то же зашифрованное значение, системная сетевая карта была отключена, а все авторизованные пользователи были принудительно отключены.
«Данная цепочка событий указывает на то, что системы оказались не только зашифрованы, но и недоступны. Даже просмотр записки с требованием выкупа требовал дополнительных действий, таких как криминалистическая экспертиза устройства или анализ вредоносного ПО. Хотя просмотр информации о выкупе, безусловно, был возможен, такие действия кажутся любопытными и контрпродуктивными для эффективной монетизации», — сообщили специалисты.
По словам экспертов, в последнее время атаки вымогателей, преследующих финансовую выгоду, происходят все чаще, обеспечивая идеальное прикрытие для других киберпреступников с модифицированным вредоносным ПО.
Напомним, 18 марта 2019 года Norsk Hydro подверглась кибератаке, которая повлекла за собой сбой в работе производственных объектов. Атака нарушила работу компании в разных странах, в том числе в Норвегии, Катаре и Бразилии. Часть рабочих процессов на производстве были переведены в ручной режим, некоторые другие процессы – приостановлены.
Спойлер: она начинается с подписки на наш канал