Федеральное бюро расследований США (ФБР) сообщило, что оно располагает более чем 7000 ключами дешифрования, связанными с операцией программы-вымогателя LockBit, чтобы помочь жертвам бесплатно вернуть свои данные.
"Мы обращаемся к известным жертвам LockBit и призываем всех, кто подозревает, что они были жертвами, посетить наш Центр жалоб на интернет-преступления по адресу ic3.gov", - сказал помощник директора кибер-отдела ФБР Брайан Ворндран в программном выступлении на Бостонской конференции по кибербезопасности 2024 года (BCCS).
LockBit, которая когда-то была плодовитой бандой вымогателей, была связана с более чем 2400 атаками по всему миру, при этом пострадали не менее 1800 организаций в США. Ранее в феврале этого года международная операция правоохранительных органов, получившая название Cronos, проводимая Национальным агентством по борьбе с преступностью Великобритании (NCA), демонтировала ее онлайн-инфраструктуру.
В прошлом месяце власти разоблачили 31-летнего гражданина России по имени Дмитрий Юрьевич Хорошев как администратора и разработчика группы, и с тех пор LockBitSupp опровергла это заявление.
"Он поддерживает имидж скрытного хакера, используя онлайн-псевдонимы, такие как "Путинкраб", "Неровольф" и "Локбитсупп", - сказал Ворндран. "Но на самом деле он преступник, больше погрязший в бюрократии управления своей компанией, чем в какой-либо тайной деятельности".
Также утверждается, что Хорошев назвал имена других операторов программы-вымогателя, чтобы правоохранительные органы могли "относиться к нему помягче". Несмотря на эти действия, LockBit продолжала оставаться активной в рамках новой инфраструктуры, хотя и не работала на прежних уровнях.
Статистика, которой поделился Malwarebytes, показывает, что семейство программ-вымогателей было связано с 28 подтвержденными атаками в апреле 2024 года, что ставит его позади Play, Hunters International и Black Basta.
Вордан также подчеркнул, что компании, предпочитающие платить за предотвращение утечки данных, не имеют гарантии, что информация действительно удалена злоумышленниками, добавив: "даже если вы получите данные обратно от преступников, вы должны предполагать, что однажды они могут быть обнародованы, или у вас могут снова потребовать те же данные".
Согласно отчету Veeam о тенденциях в области программ-вымогателей за 2024 год, который основан на опросе 1200 специалистов в области безопасности, организации, подвергшиеся атаке программ-вымогателей, могут восстановить в среднем только 57% скомпрометированных данных, что делает их уязвимыми к "существенной потере данных и негативному влиянию на бизнес".
Разработка совпадает с появлением новых игроков, таких как SenSayQ и CashRansomware (также известных как CashCrypt), поскольку существующие семейства программ-вымогателей, такие как TargetCompany (также известные как Mallox и Water Gatpanapun), постоянно совершенствуют свои навыки, используя новый вариант Linux для атак на системы VMware ESXi.
При атаках используются уязвимые серверы Microsoft SQL для получения начального доступа - метод, принятый группой с момента ее появления в июне 2021 года. Оно также определяет, работает ли целевая система в среде VMware ESXi и имеет ли она права администратора, прежде чем продолжить выполнение вредоносной программы.
"Этот вариант использует сценарий оболочки для доставки полезной нагрузки и выполнения", - сказали исследователи Trend Micro Даррел Тристан Виртусио, Натаниэль Моралес и Си Джей Арсли Матео. "Сценарий оболочки также отправляет информацию жертвы на два разных сервера, чтобы у злоумышленников была резервная копия информации".
Компания по кибербезопасности приписала атаки с использованием нового Linux-варианта TargetCompany ransomware партнеру по имени Vampire, который также был раскрыт Sekoia в прошлом месяце.
"Мы обращаемся к известным жертвам LockBit и призываем всех, кто подозревает, что они были жертвами, посетить наш Центр жалоб на интернет-преступления по адресу ic3.gov", - сказал помощник директора кибер-отдела ФБР Брайан Ворндран в программном выступлении на Бостонской конференции по кибербезопасности 2024 года (BCCS).
LockBit, которая когда-то была плодовитой бандой вымогателей, была связана с более чем 2400 атаками по всему миру, при этом пострадали не менее 1800 организаций в США. Ранее в феврале этого года международная операция правоохранительных органов, получившая название Cronos, проводимая Национальным агентством по борьбе с преступностью Великобритании (NCA), демонтировала ее онлайн-инфраструктуру.
В прошлом месяце власти разоблачили 31-летнего гражданина России по имени Дмитрий Юрьевич Хорошев как администратора и разработчика группы, и с тех пор LockBitSupp опровергла это заявление.
"Он поддерживает имидж скрытного хакера, используя онлайн-псевдонимы, такие как "Путинкраб", "Неровольф" и "Локбитсупп", - сказал Ворндран. "Но на самом деле он преступник, больше погрязший в бюрократии управления своей компанией, чем в какой-либо тайной деятельности".
Также утверждается, что Хорошев назвал имена других операторов программы-вымогателя, чтобы правоохранительные органы могли "относиться к нему помягче". Несмотря на эти действия, LockBit продолжала оставаться активной в рамках новой инфраструктуры, хотя и не работала на прежних уровнях.
Статистика, которой поделился Malwarebytes, показывает, что семейство программ-вымогателей было связано с 28 подтвержденными атаками в апреле 2024 года, что ставит его позади Play, Hunters International и Black Basta.
Вордан также подчеркнул, что компании, предпочитающие платить за предотвращение утечки данных, не имеют гарантии, что информация действительно удалена злоумышленниками, добавив: "даже если вы получите данные обратно от преступников, вы должны предполагать, что однажды они могут быть обнародованы, или у вас могут снова потребовать те же данные".
Согласно отчету Veeam о тенденциях в области программ-вымогателей за 2024 год, который основан на опросе 1200 специалистов в области безопасности, организации, подвергшиеся атаке программ-вымогателей, могут восстановить в среднем только 57% скомпрометированных данных, что делает их уязвимыми к "существенной потере данных и негативному влиянию на бизнес".
Разработка совпадает с появлением новых игроков, таких как SenSayQ и CashRansomware (также известных как CashCrypt), поскольку существующие семейства программ-вымогателей, такие как TargetCompany (также известные как Mallox и Water Gatpanapun), постоянно совершенствуют свои навыки, используя новый вариант Linux для атак на системы VMware ESXi.
При атаках используются уязвимые серверы Microsoft SQL для получения начального доступа - метод, принятый группой с момента ее появления в июне 2021 года. Оно также определяет, работает ли целевая система в среде VMware ESXi и имеет ли она права администратора, прежде чем продолжить выполнение вредоносной программы.
"Этот вариант использует сценарий оболочки для доставки полезной нагрузки и выполнения", - сказали исследователи Trend Micro Даррел Тристан Виртусио, Натаниэль Моралес и Си Джей Арсли Матео. "Сценарий оболочки также отправляет информацию жертвы на два разных сервера, чтобы у злоумышленников была резервная копия информации".
Компания по кибербезопасности приписала атаки с использованием нового Linux-варианта TargetCompany ransomware партнеру по имени Vampire, который также был раскрыт Sekoia в прошлом месяце.
