Вредонос чувствует себя в чужих сетях как дома, не щадя данные жертв.
Исследователи в области кибербезопасности обнаружили новый вариант семейства вымогательских программ Phobos, получивший название Faust. Отчёт о последней итерации вируса был опубликован исследователями FortiGuard Labs из компании Fortinet.
Разновидность Faust является последней из ряда вариантов Phobos, включая Eking, Eight, Elbie, Devos и 8Base. В ноябре 2023 года Faust уже был задокументирован Cisco Talos. Сообщается, что этот вирус активен ещё с 2022 года и не нацелен на конкретные отрасли или регионы.
Атака начинается через инфицированный документ Microsoft Excel формата «.XLAM» со встроенным VBA-скриптом. Атакующие использовали сервис Gitea для хранения файлов, закодированных в Base64, каждый из которых содержит вредоносный двоичный файл.
Параллельно незаметно извлекается исполняемый файл, маскирующийся под обновление AVG AntiVirus («AVG updater.exe»). Этот файл, в свою очередь, загружает и запускает другой исполняемый файл «SmartScreen Defender Windows.exe», который начинает процесс шифрования.
Faust способен поддерживать постоянное присутствие в среде и создаёт сразу несколько потоков для эффективного шифрования данных.
Среди других выявленных угроз — новые семейства вымогательского ПО, такие как Albabat (или White Bat) , Kasseika , Kuiper , Mimus и NONAME .
Kuiper, подробно изученный Trellix, приписывают злоумышленнику под псевдонимом «RobinHood», который начал рекламировать вредонос на подпольных форумах в сентябре 2023 года.
NONAME примечателен тем, что его сайт утечки данных имитирует сайт группы LockBit, что может указывать на связь с LockBit или использование их утекших баз данных.
В докладе французской компании Intrinsec отмечается связь между новым вредоносом 3AM и программами-вымогателями Royal/BlackSuit, появившимся вскоре после ликвидации киберпреступного синдиката Conti в мае 2022 года.
Кроме того, исследователи выявили тенденцию, что злоумышленники снова стали использовать TeamViewer для получения начального доступа к целевым средам.
Несмотря на изменчивую природу экосистемы вымогательских программ, наблюдаются признаки того, что жертвы всё чаще отказываются платить выкуп. Доля жертв, согласившихся на выплату, снизилась до 29% в 4-м квартале 2023 года, по сравнению с 41% и 34% в предыдущих кварталах. Средний размер выкупа за этот период так же снизился на 33% — с $850,700 до $568,705.
Ладно, не доказали. Но мы работаем над этим