В 2025 году вымогательское ПО продолжает оставаться одной из главных угроз для бизнеса любого масштаба. Атаки шифровальщиков приводят к финансовым потерям, остановке бизнес-процессов и репутационному ущербу. Суммы выкупа могут достигать миллионов долларов (например, 2 миллиона долларов), но даже оплата не гарантирует возврата данных. Зачастую жертвы не получают ничего или подвергаются повторным атакам. Крайне важен проактивный анализ подозрительных файлов, который и помогает предотвратить заражение.
LockBit: возвращение легенды
LockBit – печально известная группа, работающая по модели «вымогательское ПО как услуга» (RaaS). LockBit отличается эффективным шифрованием, тактикой двойного вымогательства (шифрование и угроза публикации данных), обходом традиционных средств защиты и партнёрской моделью, которая обеспечивает широкий охват атак.
Среди недавних жертв LockBit:
London Drugs (май 2024 г.): Канадская розничная сеть, требование выкупа в размере 25 миллионов долларов, утечка данных сотрудников.
Университетский больничный центр, Загреб (июнь 2024 г.): Нарушена работа крупнейшей больницы Хорватии, похищены медицинские записи.
Evolve Bank & Trust (июнь 2024 г.): Утечка конфиденциальных финансовых данных, ложные заявления о краже данных Федеральной резервной системы.
Анализ в песочнице показывает следующие ключевые особенности поведения LockBit: изменение значков файлов, размещение записки с требованием выкупа на сайте в сети TOR, подробная разбивка выполнения процесса. Используются тактики MITRE ATT&CK: повышение привилегий (обход средств безопасности), извлечение учётных данных, сканирование системы, шифрование данных.
LockBitSupp (предполагаемый лидер) предупредил о начале новых атак в феврале 2025 года.
Lynx: новая угроза для малого и среднего бизнеса
Lynx – относительно новая группа (появилась в середине 2024 года), которая агрессивно атакует малые и средние предприятия в Северной Америке и Европе. Lynx использует тактику двойного вымогательства и эксплуатирует более слабые меры безопасности.
Lowe Engineers (середина января 2025 г.): Инженерно-строительная фирма из Атланты, утечка конфиденциальных данных о проектах и клиентах, потенциальное влияние на федеральные и муниципальные контракты.
Анализ в песочнице выявляет следующие особенности: шифрование файлов (изменение расширений на.LYNX), записка с требованием выкупа, изменение обоев рабочего стола, сайт в сети TOR для оплаты. Применяются тактики MITRE ATT&CK: шифрование файлов, переименование файлов (имитация других штаммов), запрос реестра (данные о системе, ПО безопасности), чтение информации о процессоре, проверка политик ПО.
Virlock: неумирающий самовоспроизводящийся шифровальщик
Virlock – уникальный штамм (впервые появился в 2014 году), который не только шифрует файлы, но и заражает их, превращая в полиморфные файловые инфекторы. Virlock быстро распространяется, особенно через облачные хранилища и платформы для совместной работы.
В последнее время Virlock скрытно распространяется через облачные хранилища и приложения для совместной работы. Зараженные файлы синхронизируются с общими средами, что приводит к дальнейшему распространению.
Анализ в песочнице показывает: записка с требованием выкупа в биткойнах (в данном примере 250 долларов), инструкция по покупке биткойнов. Зловредная активность включает: специфичный для Virlock мьютекс, выполнение пакетного файла (.bat) через CMD.EXE, изменение реестра Windows (REG/REGEDIT.EXE).
Интерактивная песочница – это облачная виртуальная среда для безопасного анализа поведения вредоносных программ.
MITRE ATT&CK – база знаний о тактиках и методах злоумышленников, используемых в кибератаках.
Сайт в сети TOR обеспечивает анонимность пользователя.
Мьютекс (объект взаимного исключения) используется в программировании.
Главная рекомендация – проактивный анализ файлов, для которого идеально подходит сервис . Важна совместная работа, а так же разработка и внедрение эффективных стратегий защиты.
Изображение носит иллюстративный характер
LockBit: возвращение легенды
LockBit – печально известная группа, работающая по модели «вымогательское ПО как услуга» (RaaS). LockBit отличается эффективным шифрованием, тактикой двойного вымогательства (шифрование и угроза публикации данных), обходом традиционных средств защиты и партнёрской моделью, которая обеспечивает широкий охват атак.
Среди недавних жертв LockBit:
London Drugs (май 2024 г.): Канадская розничная сеть, требование выкупа в размере 25 миллионов долларов, утечка данных сотрудников.
Университетский больничный центр, Загреб (июнь 2024 г.): Нарушена работа крупнейшей больницы Хорватии, похищены медицинские записи.
Evolve Bank & Trust (июнь 2024 г.): Утечка конфиденциальных финансовых данных, ложные заявления о краже данных Федеральной резервной системы.
Анализ в песочнице показывает следующие ключевые особенности поведения LockBit: изменение значков файлов, размещение записки с требованием выкупа на сайте в сети TOR, подробная разбивка выполнения процесса. Используются тактики MITRE ATT&CK: повышение привилегий (обход средств безопасности), извлечение учётных данных, сканирование системы, шифрование данных.
LockBitSupp (предполагаемый лидер) предупредил о начале новых атак в феврале 2025 года.
Lynx: новая угроза для малого и среднего бизнеса
Lynx – относительно новая группа (появилась в середине 2024 года), которая агрессивно атакует малые и средние предприятия в Северной Америке и Европе. Lynx использует тактику двойного вымогательства и эксплуатирует более слабые меры безопасности.
Lowe Engineers (середина января 2025 г.): Инженерно-строительная фирма из Атланты, утечка конфиденциальных данных о проектах и клиентах, потенциальное влияние на федеральные и муниципальные контракты.
Анализ в песочнице выявляет следующие особенности: шифрование файлов (изменение расширений на.LYNX), записка с требованием выкупа, изменение обоев рабочего стола, сайт в сети TOR для оплаты. Применяются тактики MITRE ATT&CK: шифрование файлов, переименование файлов (имитация других штаммов), запрос реестра (данные о системе, ПО безопасности), чтение информации о процессоре, проверка политик ПО.
Virlock: неумирающий самовоспроизводящийся шифровальщик
Virlock – уникальный штамм (впервые появился в 2014 году), который не только шифрует файлы, но и заражает их, превращая в полиморфные файловые инфекторы. Virlock быстро распространяется, особенно через облачные хранилища и платформы для совместной работы.
В последнее время Virlock скрытно распространяется через облачные хранилища и приложения для совместной работы. Зараженные файлы синхронизируются с общими средами, что приводит к дальнейшему распространению.
Анализ в песочнице показывает: записка с требованием выкупа в биткойнах (в данном примере 250 долларов), инструкция по покупке биткойнов. Зловредная активность включает: специфичный для Virlock мьютекс, выполнение пакетного файла (.bat) через CMD.EXE, изменение реестра Windows (REG/REGEDIT.EXE).
Интерактивная песочница – это облачная виртуальная среда для безопасного анализа поведения вредоносных программ.
MITRE ATT&CK – база знаний о тактиках и методах злоумышленников, используемых в кибератаках.
Сайт в сети TOR обеспечивает анонимность пользователя.
Мьютекс (объект взаимного исключения) используется в программировании.
Главная рекомендация – проактивный анализ файлов, для которого идеально подходит сервис . Важна совместная работа, а так же разработка и внедрение эффективных стратегий защиты.
