Новости Вымогатель Faust — незримая киберзападня прямо в вашем Excel

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Вредонос чувствует себя в чужих сетях как дома, не щадя данные жертв.


hls5xw27y91rq5buel4smqfb4ghtf4se.jpg


Исследователи в области кибербезопасности обнаружили новый вариант семейства вымогательских программ Phobos, получивший название Faust. Отчёт о последней итерации вируса Для просмотра ссылки Войди или Зарегистрируйся исследователями FortiGuard Labs из компании Fortinet .

Разновидность Faust является последней из ряда вариантов Phobos, включая Eking, Eight, Elbie, Devos и 8Base. В ноябре 2023 года Faust Для просмотра ссылки Войди или Зарегистрируйся Cisco Talos. Сообщается, что этот вирус активен ещё с 2022 года и не нацелен на конкретные отрасли или регионы.

Атака начинается через инфицированный документ Microsoft Excel формата «.XLAM» со встроенным VBA -скриптом. Атакующие использовали сервис Gitea для хранения файлов, закодированных в Base64 , каждый из которых содержит вредоносный двоичный файл.

Параллельно незаметно извлекается исполняемый файл, маскирующийся под обновление AVG AntiVirus («AVG updater.exe»). Этот файл, в свою очередь, загружает и запускает другой исполняемый файл «SmartScreen Defender Windows.exe», который начинает процесс шифрования.

Faust способен поддерживать постоянное присутствие в среде и создаёт сразу несколько потоков для эффективного шифрования данных.

Среди других выявленных угроз — новые семейства вымогательского ПО, такие как Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся .

Kuiper, Для просмотра ссылки Войди или Зарегистрируйся Trellix, приписывают злоумышленнику под псевдонимом «RobinHood», который начал рекламировать вредонос на подпольных форумах в сентябре 2023 года.

NONAME примечателен тем, что его сайт утечки данных имитирует сайт группы LockBit, что может указывать на связь с LockBit или использование их утекших баз данных.

В Для просмотра ссылки Войди или Зарегистрируйся французской компании Intrinsec отмечается связь между новым вредоносом 3AM и программами-вымогателями Royal/BlackSuit, появившимся вскоре после ликвидации киберпреступного синдиката Conti в мае 2022 года.

Кроме того, исследователи выявили тенденцию, что злоумышленники Для просмотра ссылки Войди или Зарегистрируйся TeamViewer для получения начального доступа к целевым средам.

Несмотря на изменчивую природу экосистемы вымогательских программ, наблюдаются признаки того, что жертвы всё чаще отказываются платить выкуп. Доля жертв, согласившихся на выплату, снизилась до 29% в 4-м квартале 2023 года, по сравнению с 41% и 34% в предыдущих кварталах. Средний размер выкупа за этот период так же снизился на 33% — с $850,700 до $568,705.
 
Источник новости
www.securitylab.ru

Похожие темы