Оновлений вимагач атакує французькі органи влади

Комп’ютерна група реагування на надзвичайні ситуації (CERT) Франції попередила про нове кіберзлочинне угруповання, яке атакує місцеві органи влади за допомогою здирницького ПЗ.

Згідно з повідомленням CERT, почастішали випадки зараження мереж місцевих органів влади новим здирницьким ПЗ Mespinoza (інша назва Pysa). Вперше воно було виявлено в жовтні 2019 року – в цей час в інтернеті стали з’являтися повідомлення про невідомого здирника. Через два місяці був виявлений новий варіант Mespinoza, який додає до імені файлу розширення .pysa.

До недавнього часу вимагач Mespinoza/Pysa атакував переважно компанії. Його оператори були зацікавлені в великих жертвах, здатних заплатити кругленьку суму. Тепер же кіберзлочинці націлилися на французькі організації.

Як відбувається зараження, поки невідомо. За словами фахівців CERT, деякі факти вказують на те, що зловмисники здійснюють брутфорс-атаки на консолі управління та облікові записи Active Directory, а потім викрадають облікові дані. Жертви Mespinoza зафіксували неавторизоване RDP-підключення до своїх контролерів домену та виявили підозрілі Batch- і PowerShell-скрипти.

Оператори Mespinoza також використовують версію інструменту PowerShell Empire, призначеного для проведення тестів на проникнення, які блокують роботу антивірусних рішень, а в деяких випадках навіть деінсталює Windows Defender. Як мінімум в одному випадку новий варіант вимагача додавав до імені файлу розширення .newversion.

Фахівці вивчили використовуваний Mespinoza алгоритм шифрування і не знайшли будь-яких вразливостей, які дозволили б розшифрувати файли без ключа (тобто, без сплати викупу).

Також радимо звернути увагу на поради, про які писав Cybercalm, а саме:

• ФІШИНГ ТА СПАМ: ЯК РОЗПІЗНАТИ ІНТЕРНЕТ-ШАХРАЙСТВА, ПОВ’ЯЗАНІ З COVID-19?

• АПГРЕЙД ВАШОГО КОМП’ЮТЕРА: 5 КОМПЛЕКТУЮЧИХ, ЯКІ ВАРТО ОНОВИТИ В ПЕРШУ ЧЕРГУ

• ЯК НАЛАШТУВАТИ ПРИВАТНІСТЬ У FACEBOOK? – ІНСТРУКЦІЯ

• ЧИМ ЗАГРОЖУЄ ВАМ СОЦІАЛЬНА ІНЖЕНЕРІЯ ТА ЯК НЕ СТАТИ ЖЕРТВОЮ “СОЦІАЛЬНОГО ХАКЕРА”?

• НАЙКРАЩІ VPN ДЛЯ САМОЗАХИСТУ В ІНТЕРНЕТІ

Нагадаємо, використовуючи реквізити платіжних карток громадян інших держав, зловмисник купував товари в Інтернет-магазинах. Далі продавав їх у соціальних мережах українцям.

Окрім цього, прогалини в безпеці знайдені в продуктах Amazon, Apple, Google, Samsung, Raspberry, Xiaomi, а також точках доступу від Asus і Huawei.

До речі, рекламні агенції, що надавали послуги з розміщення реклами, в тому числі на сайтах онлайн-кінотеатрів, своєю діяльністю забезпечували функціонування ресурсів з піратським контентом.

Також довгий час більшість користувачів вважали, що загроз для Linux значно менше, ніж для Windows чи macOS. Однак останнім часом комп’ютерні системи та додатки на базі цієї операційної системи все частіше стають об’єктами атак кіберзлочинців.