Группа вымогателей OldGremlin расширила свой инструментарий

 

Компания Group-IB выпустила отчет, в котором подробно описала деятельность группировки OldGremlin. Ее жертвами являются российские компании в сфере логистики, промышленности, страхования, розничной торговли, недвижимости, разработки программного обеспечения и банковского сектора. Во время реагирования на инциденты в этом году специалисты Group-IB обнаружили, что группировка нацелилась на Linux-машины с помощью новой версии программы TinyCrypt, которую банда использует для шифрования компьютеров с ОС Windows. Помимо пользовательских инструментов, злоумышленники также используют открытые и коммерческие фреймворки, такие как PowerSploit и Cobalt Strike.


Ботнет Emotet рассылает самораспаковывающийся защищенный паролем архив

 

Команда Trustwave SpiderLabs выявила увеличение количества ВПО, упакованных в защищенные паролем архивы, причем около 96% из них рассылается ботнетом Emotet. Одно из самых сложных препятствий, с которыми сталкиваются злоумышленники при проведении такого типа спам-кампаний - убедить жертву открыть архив, используя предоставленный пароль. Поэтому для упрощения распространения ВПО используется самораспаковывающийся архив. Первый архив представляет собой SFX RAR (RARsfx), единственной целью которого является открытие второго вложенного RARsfx. Описанный метод атаки требует только одного щелчка мыши для компрометации цели без необходимости ввода пароля.


Компания Symantec предупредила о новом ВПО Exbyte

 

Программа-вымогатель BlackByte начала использовать в своих атаках новый инструмент под названием ExByte для быстрой кражи данных со взломанных устройств Windows. Инструмент эксфильтрации написан на языке Go и предназначен для загрузки украденных файлов в облачное хранилище Mega.co.nz. В процессе работы инструмент анализирует, находится ли он в изолированной среде, и проверяет наличие отладчиков и антивирусных процессов. В техническом отчете Symantec представила индикаторы компрометации нового инструмента.