BabyLockerKZ: волна атак накрывает континенты – кто следующий?
Известный вирус получил новую маску и стал ещё опаснее.
Компания Cisco Talos обнаружила новую активность киберпреступников, распространяющих модифицированный вариант вымогательского ПО MedusaLocker. Эксперты выявили, что группа действует глобально, но большее число атак было зафиксировано в странах Европы и Южной Америки.
Новый вариант MedusaLocker получил название «BabyLockerKZ». Примечательная особенность этого вредоноса — наличие в пути компиляции слов «paid_memes», которые также встречаются в других инструментах, использованных данными злоумышленниками. Именно этот фактор и позволил Cisco Talos связать атаки и детально изучить деятельность атакующих, оценив их тактику и инструменты.
BabyLockerKZ отличается от классической версии MedusaLocker несколькими особенностями, в том числе изменённым автозапуском и набором дополнительных ключей, хранящихся в реестре. Это указывает на высокую профессиональную подготовку группы и целенаправленный характер атак.
Основной инструментарий злоумышленников состоит как из общедоступных утилит, так и из специализированных инструментов, созданных для кражи данных и перемещений по сети. Некоторые утилиты, например, «Checker», используются для поиска уязвимостей в системе, позволяя атакующим быстро распространяться по сети жертвы.
По оценке специалистов, мотивы группы носят исключительно финансовый характер. Злоумышленники могут действовать как самостоятельные преступники или быть частью крупного картеля, занимающегося вымогательством. С 2022 года группа активно атакует различные организации. В первой половине 2023 года объем их атак вырос вдвое, но затем снова снизился в начале 2024 года.
В своих кибероперациях злоумышленники активно используют ряд инструментов, включая HRSword для отключения антивирусного ПО, Advanced Port Scanner для сканирования сети, а также такие программы, как ProcessHacker и Mimikatz. Многие из этих инструментов активно применяются для атаки на учётные данные и дальнейшего распространения по системе.
Тесное использование одних и тех же инструментов в комбинации с постоянной сменой регионов атак указывает на высокую организованность и эффективность действий киберпреступников. Компаниям в зоне риска рекомендуется усилить мониторинг безопасности и применять специализированные решения для своевременного выявления и блокировки подобных угроз.