Эксперты по безопасности недавно обнаружили, что группа, стоящая за вымогательским ПО Jolly Scorpius, существенно усовершенствовала свой сервис Ransomhouse, работающий по модели RaaS (Ransomware as a Service). Как сообщает команда аналитиков угроз из Palo Alto Networks, теперь эта группировка использует усовершенствованную систему двойного шифрования.
Атаки основаны на обновленной версии шифровального трояна под кодовым названием «Mario». Троян использует не один, а два отдельных ключа: основной ключ имеет длину 32 байта, а вторичный — восемь байт. Это делает восстановление данных практически невозможным.
Для автоматизации атак на гипервизоры VMware ESXi задействуется специальный инструмент под названием «MrAgent». «С помощью MrAgent злоумышленники значительно расширили свои возможности, — комментирует Энди Шнайдер, CISO в Palo Alto Networks, в беседе с CSO. — Он позволяет им нейтрализовать межсетевые экраны и шифровать целые кластеры гипервизоров в больших масштабах, что приводит к максимальным сбоям в течение нескольких минут».
Германия как главная цель
Кроме того, сохраняется и тактика двойного вымогательства: помимо шифрования систем, похищаются и конфиденциальные данные. По данным Palo Alto Networks, в рамках новой кампании киберпреступники нацелились преимущественно на немецкие компании, использующие инфраструктуру VMware.
Шнайдер предполагает, что Германия в настоящее время является привлекательной целью из-за специфики своей инфраструктуры. «В отличие от рынков, где более широко приняты стратегии публичных облаков, многие немецкие компании — особенно из промышленности и технологического сектора — по-прежнему сильно полагаются на собственные центры обработки данных, — поясняет он. — А они доминируют на рынке VMware».
Эксперт отмечает, что эта тенденция уже проявилась в недавних атаках на немецкие предприятия в сферах производства, аэрокосмической отрасли и приборостроения. «Такая высокая концентрация инфраструктуры ESXi делает немецкую промышленность высокодоходной и эффективной целью для Ransomhouse».
Для защиты от подобных атак некоторые эксперты по безопасности рекомендуют компаниям скорректировать свои стратегии защиты. К таким мерам относятся, например, усиление защиты виртуализированных сред, использование неизменяемых резервных копий и строгая сегментация сети.
Нестандартная банда вымогателей
Группа Jolly Scorpius отличается от традиционных банд, занимающихся вымогательством. Как подчеркивает CISO Palo Alto Networks, участники часто выдают себя за «аудиторов безопасности», а не за чистых киберпреступников. «Они заявляют, что обнаруживают уязвимости, вызванные плохими практиками безопасности, одновременно проводя безжалостные атаки с двойным вымогательством».
По словам Шнайдера, несмотря на профессиональный фасад, группу связывают с русскоязычными корнями (в частности, с семейством кода «Babuk»). «Выбор целей часто совпадает с общим геополитическим напряжением. Концентрируясь на критически важных цепочках поставок и инфраструктуре в странах НАТО, таких как Германия, они извлекают выгоду из толерантной среды в своем регионе».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Qual-score: 7/8
Bayan-score: 0.967761636
Автор – Julia Mutzbauer
