Содержание |
Вирусы-вымогатели (шифровальщики)
Основная статья: Вирусы-вымогатели (шифровальщики) Ransomware
2024: Бывшие участники Conti атакуют компании и уже заработали $100 млн на выкупах
Некогда крупнейшая группировка хакеров-вымогателей Conti закрылась, но ее участники продолжают атаковать сотни компаний и уже заработали $100 млн на выкупах. Об это стало известно в мае 2024 года.
2023
Создание инструмента для разблокировки компьютеров, зараженных вирусом Conti
16 марта 2023 года «Лаборатория Касперского» выпустила новый инструмент дешифрования, который поможет жертвам программ-вымогателей, созданных на основе исходного кода Conti, восстановить свои данные.
Conti — одна из самых активных кибергруппировок среди вымогателей. Исходники одноименного зловреда оказались в интернете в марте 2022 года после внутреннего конфликта, вызванного геополитическим кризисом в Европе. Впоследствии код был использован другими злоумышленниками для создания модификаций вымогателя, в частности, Meow. Эта версия вируса распространялась неизвестной группой киберпреступников и использовалась для атак на коммерческие компании и государственные учреждения.
В конце февраля 2023 года специалисты «Лаборатории Касперского» обнаружили на форумах в интернете новую порцию данных, связанных с Conti. Анализ показал, что они содержат 258 закрытых ключей шифрования, исходный код и в отдельных случаях предварительно скомпилированные дешифраторы для вредоносной программы Meow. На одном из форумов также содержалось сообщение о том, что кибергруппировка прекращает свою деятельность, а поэтому публикует информацию для раскодирования файлов своих жертв.
Сообщается, что закрытые ключи находятся в 257 папках (одна из них содержит два ключа). В 14 директориях содержатся ранее сгенерированные расшифровщики, а 34 папки имеют явные названия компаний и государственных учреждений. Проанализировав обнародованные данные, специалисты «Лаборатории Касперского» добавили алгоритмы дешифровки для зловреда Meow в последнюю сборку утилиты Rakhni Decryptor (1.40.0.00).
Если предположить, что одна папка соответствует одной жертве, а дешифраторы были сгенерированы для жертв, заплативших выкуп, можно предположить, что 14 жертв из 257 перевели деньги злоумышленникам», — отмечает «Лаборатория Касперского».[1] |
Банда вымогателей LockBit начала применять шифровальщик на базе кода нашумевшего вредоноса Conti
Банда вымогателей LockBit снова начала использовать сторонние шифровальщики в своих атаках. На этот раз злоумышленники воспользовались программой, основанной на утечке исходного кода Conti. Об этом стало известно 2 февраля 2023 года. Подробнее здесь.
2022
Как работает хакерская группировка Conti
23 июня 2022 года в российской компании Group-IB, специализирующейся на обеспечении информационной безопасности, рассказали о деятельности хакерской группировки Conti, которая занимается распространением вирус-вымогателей.
По сообщению Group-IB, Conti является «криминальной IT-компанией», у которой есть свои отделы кадров, исследований и разработки (R&D), разведки по открытым источникам (OSINT), а также регулярная выплата зарплат, система мотивации и отпуска. Команда работает с 12:00 до 21:00 по московскому времени — по 14 часов семь дней в неделю. При этом у хакеров бывают каникулы.
Согласно отчету, обнародованному Group-IB 23 июня 2022 года, с начала 2022-го в Conti опубликовали данные 156 компаний. Суммарно же список их жертв насчитывает свыше 850 организаций из самых разных отраслей, а также госведомства и даже целое государство - в апреле атака Conti против Коста-Рики привела к введению чрезвычайного положения в стране - это первый прецедент такого масштаба.
В топ-5 индустрий, которые чаще других атакуют Conti входят производство (14%), недвижимость (11,1%), логистика (8,2%), профессиональные услуги (7,1%) и торговля (5,5%). Оказавшись в инфраструктуре компании, злоумышленники выгружают документы (чаще всего чтобы определить, с какой именно организацией они имеют дело) и ищут файлы, содержащие пароли как в открытом, так и в зашифрованном виде. Наконец, получив все необходимые права и доступы ко всем интересующим устройствам, хакеры «разливают» шифровальщики на всех устройствах и запускают их, рассказали в Group-IB.Михаил Рожков, PARMA TG: Большинство наших BPM-проектов выходят за рамки отдельных процессов и организаций
Хакеры атакуют организации во многих регионах мирах, избегая атак на компании и организации из России, указывает Group-IB. Чаще всего группировка атакует компании и ведомства в США (58,4% всех атак), за ней следуют Канада (7%), Англия (6,6%), Германия (5,8%), Франция (3,9%) и Италия (3,1%). [2]
Сбой работы ИТ-систем Delta Electronics из-за атаки вируса-вымогателя
В конце января 2022 года Delta Electronics подверглась атаке вируса-вымогателя Conti. Вредоносная программа классифицируется экспертами как очень опасная из-за возможного ущерба, который ПО может нанести устройству. Для шифрования файлов могут использоваться надежные алгоритмы шифрования, предотвращающие открытие файлов. Подробнее здесь.
2020: Атаки на 16 медучреждений в США
В конце мая 2021 года ФБР сообщило, что операторы программ-вымогателей Conti пытались взломать в 2020 году сети 16 американских организаций здравоохранения и служб быстрого реагирования.
По сообщению ФБР, деятельность Conti связана как минимум с 400 кибератаками на организации по всему миру, из которых не менее 290 были совершены в Соединенных Штатах.
Как сообщает агентство, требования Conti о выкупе подбираются индивидуально для каждой жертвы, среди последних требований хакеров выкуп в размере $25 млн. Жертвы взломов призывают обмениваться информацией об атаках хакерской группировки, чтобы помочь ФБР предотвратить будущие атаки и идентифицировать личности злоумышленников.
Conti, как правило, изначально получает доступ к сети жертвы с помощью украденных учетных данных, RDP или фишинговых кампаний.
В сообщении ФБР говорится:
Если жертва не отвечает на требование выкупа через два-восемь дней после развертывания программы-вымогателя, представители Conti часто звонят жертве, используя одноразовые номера. Злоумышленники также могут общаться с жертвой с помощью ProtonMail, и в некоторых случаях жертвы договариваются о снижении выкупа. |
ФБР не советует жертвам атак программ-вымогателей платить выкуп, потому что гарантий того, что хакеры предоставят после оплаты ключи дешифрования, нет, а каждая успешная попытка вымогательства только способствует преступной деятельности, связанной с программами-вымогателями. Более того, ФБР призывает правоохранительные органы быть прозрачными в случае инцидентов с вымогательством.
По сообщению ИБ-исследователей Coveware, вирус-вымогатель Conti является вторым по частоте использования хакерами. На него приходится 10,2% из всех кибератак с использованием вымогателя за первый квартал 2021 года.[3]
Смотрите также
Контроль и блокировки сайтов
- Цензура в интернете. Мировой опыт
- Цензура (контроль) в интернете. Опыт Китая, Компьютерная группа реагирования на чрезвычайные ситуации Китая (CERT)
- Цензура (контроль) в интернете. Опыт России, Политика Роскомнадзора по контролю интернета, ГРЧЦ
- Запросы силовиков на телефонные и банковские данные в России
- Закон о регулировании Рунета
- Национальная система фильтрации интернет-трафика (НаСФИТ)
- Как обойти интернет-цензуру дома и в офисе: 5 простых способов
- Блокировка сайтов в России
- Ревизор - система контроля блокировки сайтов в России
Анонимность
- Даркнет (теневой интернет, DarkNet)
- VPN и приватность (анонимность, анонимайзеры)
- VPN - Виртуальные частные сети
- СОРМ (Система оперативно-розыскных мероприятий)
- Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)
- Ястреб-М Статистика телефонных разговоров
Критическая инфраструктура
- Цифровая экономика России
- Электронное правительство России
- Информационная безопасность цифровой экономики России
- Защита критической информационной инфраструктуры России
- Закон О безопасности критической информационной инфраструктуры Российской Федерации
- Основы государственной политики РФ в области международной информационной безопасности
- Доктрина информационной безопасности России
- Стратегия национальной безопасности России
- Соглашение стран СНГ в борьбе с преступлениями в сфере информационных технологий
- Автономный интернет в России
- Киберполигон России для обучения информационной безопасности
- Национальная биометрическая платформа (НБП)
- Единая биометрическая система (ЕБС) данных клиентов банков
- Биометрическая идентификация (рынок России)
- Каталог решений и проектов биометрии
- Единая сеть передачи данных (ЕСПД) для госорганов (Russian State Network, RSNet)
- Статья:Единая система программной документации (ЕСПД).
- Сеть передачи данных органов государственной власти (СПДОВ)
- Единая сеть электросвязи РФ
- Единый портал государственных услуг (ФГИС ЕПГУ)
- Гособлако - Государственная единая облачная платформа (ГЕОП)
- Госвеб Единая платформа интернет-порталов органов государственной власти
Импортозамещение
- Импортозамещение в сфере информационной безопасности
- Обзор: Импортозамещение информационных технологий в России
- Главные проблемы и препятствия импортозамещения ИТ в России
- Преимущества замещения иностранных ИТ-решений отечественными
- Основные риски импортозамещения ИТ
- Импортозамещение информационных технологий: 5 "За" и 5 "Против"
- Как импортозамещение ИТ сказалось на бизнесе иностранных вендоров? Взгляд из России
- Как запуск реестра отечественного ПО повлиял на бизнес российских вендоров
- Какие изменения происходят на российском ИТ-рынке под влиянием импортозамещения
- Оценки перспектив импортозамещения в госсекторе участниками рынка
Информационная безопасность и киберпреступность
- Киберпреступность в мире
- Требования NIST
- Глобальный индекс кибербезопасности
- Кибервойны, Кибервойна России и США, Кибервойна России и Великобритании, Кибервойна России и Украины
- Locked Shields (киберучения НАТО)
- Киберпреступность и киберконфликты : Россия, Кибервойска РФ, ФСБ, Национальный координационный центр по компьютерным инцидентам (НКЦКИ), Центр информационной безопасности (ЦИБ) ФСБ, Следственный комитет при прокуратуре РФ, Управление К БСТМ МВД России, МВД РФ, Министерство обороны РФ, Росгвардия, ФинЦЕРТ
- Число киберпреступлений в России, Русские хакеры
- Киберпреступность и киберконфликты : Украина, Киберцентр UA30, Национальные кибервойска Украины
- Национальный центр по защите данных системы здравоохранения Норвегии (HelseCERT)
- CERT NZ
- CERT-UZ Отдел технической безопасности в структуре государственного унитарного Центра UZINFOCOM
* Регулирование интернета в Казахстане, KZ-CERT
- Киберпреступность и киберконфликты : США, Пентагон, ЦРУ, АНБ, NSA Cybersecurity Directorate, ФБР, Киберкомандование США (US Cybercom), Министерства обороны США, NATO, Department of Homeland Security, Cybersecurity and Infrastructure Security Agency (CISA)
- Информационная безопасность в США
- Как США шпионили за производством микросхем в СССР
- Киберпреступность и киберконфликты : Европа, ENISA, ANSSI, Joint Cyber Unit, National Cyber Force
- Стратегия кибербезопасности ЕС
- Регулирование интернета в странах Евросоюза
- Информационная безопасность в Германии
- Информационная безопасность во Франции
- Информационная безопасность в Греции
- Информационная безопасность в Австралии
- Tactical Edge Networking (военный интернет)
- Киберпреступность и киберконфликты : Израиль
- Киберпреступность и киберконфликты : Иран
- Киберпреступность и киберконфликты : Китай
- Информационная безопасность в Китае
- Импортозамещение информационных технологий в Китае
- Киберпреступность и киберконфликты : КНДР
- Информационная безопасность в Молдавии
- Информационная безопасность в Японии
- Безопасность в интернете
- Безопасность интернет-сайтов
- Безопасность программного обеспечения (ПО)
- Безопасность веб-приложений
- Безопасность мессенджерах
- Угрозы безопасности общения в мобильной сети
- Безопасность в социальных сетях
- Киберзапугивание (кибербуллинг, киберсталкинг)
- Информационная безопасность в банках
- Информационная безопасность в судах
- CERT-GIB Computer Emergency Response Team - Group-IB
- Мошенничество с банковскими картами
- Взлом банкоматов
- Обзор: ИТ в банках 2016
- Политика ЦБ в сфере защиты информации (кибербезопасности)
- Потери организаций от киберпреступности
- Потери банков от киберпреступности
- Тренды развития ИТ в страховании (киберстрахование)
- Кибератаки
- Threat intelligence TI киберразведка
- Число кибератак в России и в мире
- Кибератаки на автомобили
- Обзор: Безопасность информационных систем
- Информационная безопасность
- Информационная безопасность в компании
- Информационная безопасность в медицине
- Информационная безопасность в электронной коммерции
- Информационная безопасность в ритейле
- Информационная безопасность (мировой рынок)
- Информационная безопасность (рынок России)
- Информационная безопасность на Украине
- Информационная безопасность в Белоруссии
- Главные тенденции в защите информации
- ПО для защиты информации (мировой рынок)
- ПО для защиты информации (рынок России)
- Pentesting (пентестинг)
- ИБ - Средства шифрования
- Криптография
- Управление инцидентами безопасности: проблемы и их решения
- Системы аутентификации
- Закон о персональных данных №152-ФЗ
- Защита персональных данных в Евросоюзе и США
- Расценки пользовательских данных на рынке киберпреступников
- Буткит (Bootkit)
- Уязвимости в ПО и оборудовании
- Джекпоттинг_(Jackpotting)
- Вирус-вымогатель (шифровальщик), Ramsomware, WannaCry, Petya/ExPetr/GoldenEye, CovidLock, Ragnar Locker, Ryuk, EvilQuest Вредонос-вымогатель для MacOS, Ransomware of Things (RoT), RegretLocker, Pay2Key, DoppelPaymer, Conti, DemonWare (вирус-вымогатель), Maui (вирус-вымогатель), LockBit (вирус-вымогатель)
- Защита от программ-вымогателей: существует ли она?
- Big Brother (вредоносная программа)
- MrbMiner (вирус-майнер)
- Защита от вирусов-вымогателей (шифровальщиков)
- Вредоносная программа (зловред)
- APT - Таргетированные или целевые атаки
- Исследование TAdviser и Microsoft: 39% российских СМБ-компаний столкнулись с целенаправленными кибератаками
- DDoS и DeOS
- Атаки на DNS-сервера
- DoS-атаки на сети доставки контента, CDN Content Delivery Network
- Как защититься от DDoS-атаки. TADетали
- Визуальная защита информации - Визуальное хакерство - Подглядывание
- Ханипоты (ловушки для хакеров)
- Руткит (Rootkit)
- Fraud Detection System (fraud, фрод, система обнаружения мошенничества)
- Каталог Антифрод-решений и проектов
- Как выбрать антифрод-систему для банка? TADетали
- Security Information and Event Management (SIEM)
- Threat intelligence (TI) - Киберразведка
- Каталог SIEM-решений и проектов
- Чем полезна SIEM-система и как её внедрить?
- Для чего нужна система SIEM и как её внедрить TADетали
- Системы обнаружения и предотвращения вторжений
- Отражения локальных угроз (HIPS)
- Защита конфиденциальной информации от внутренних угроз (IPC)
- Спуфинг (spoofing) - кибератака
- Фишинг, Фишинг в России, DMARC, SMTP
- Сталкерское ПО (программы-шпионы)
- Троян, Trojan Source (кибератака)
- Ботнет Боты, TeamTNT (ботнет), Meris (ботнет)
- Backdoor
- Черви Stuxnet Regin Conficker
- EternalBlue
- Рынок безопасности АСУ ТП
- Флуд (Flood)
- Предотвращения утечек информации (DLP)
- Скимминг (шимминг)
- Спам, Мошенничество с электронной почтой
- Социальная инженерия
- Телефонное мошенничество
- Звуковые атаки
- Warshipping (кибератака Военный корабль)
- Антиспам программные решения
- Классические файловые вирусы
- Антивирусы
- ИБ : средства защиты
- Система резервного копирования
- Система резервного копирования (технологии)
- Система резервного копирования (безопасность)
- Межсетевые экраны