Новый шифровальщик атакует органы местной власти во Франции

Французский центр реагирования на киберугрозы CERT-FR распространил предупреждение об участившихся случаях хакерских атак на органы местной власти. Злоумышленники используют новый зловред-шифровальщик Mespinoza. Впервые он был обнаружен в октябре 2019 года. Вредоносное ПО блокировало данные на инфицированных устройствах, добавляя к каждому зашифрованному файлу расширение .locked. Два месяца спустя появилась его обновленная версия, использовавшая уже расширение .pysa, ставшее вторым наименованием зловреда.

У специалистов пока нет единого мнения о том, как именно происходит инфицирование новым зловредом. Однако очевидно, что Mespinoza/Pysa принадлежит к числу шифровальщиков, атаки которых тщательно готовятся и осуществляются «вручную», а не посредством массовой рассылки установочных файлов, например, в спам-сообщениях. К этой же группе относятся все наиболее опасные зловреды-шифровальщики, такие как Ryuk, REvil (Sodinokibi), LockerGoga, RobbinHood, DoppelPaymer и Maze. Их операторы детально изучают системы потенциальных жертв, находят уязвимости в защите и наносят удар, требуя затем очень и очень крупные суммы в качестве выкупа. Есть предположение, что злоумышленники, стоящие за Mespinoza/Pysa, начинают с bruteforce-атак на учетные записи и панели управления в Active Directory, которые, в случае успеха, открывают доступ к учетным данным сотрудников. Кроме того, в распоряжении хакеров имеется вредоносная версия исследовательского инструмента PowerShell Empire, предназначенного для тестирования систем на возможность проникновения. Она позволяет блокировать защитные решения.

Еще одна неприятная новость состоит в том, что проведенный исследователями анализ кода Mespinoza/Pysa и его алгоритмов шифрования не обнаружил уязвимостей. Это означает, что взломать его не представляется возможным. И при отсутствии актуальных резервных копий единственным способом восстановления зашифрованных хакерами данных остается уплата выкупа для получения ключа расшифровки.


Источник:  ZDNet

Возврат к списку