Один из самых ярких дебютантов на вирусном небосклоне 2019 года заслужил персональное предупреждение от ФБР.
ФБР предупреждает частный сектор об атаках двух программ-вымогателей — LockerGoga и MegaCortex. При попадании в сеть предприятия эти вредоносы пытаются зашифровать все подключённые к ней устройства.
LockerGoga, о которым мы неоднократно писали, активен с января 2019 года — именно тогда вымогатель начал заражать корпорации в США, Великобритании, Франции, Норвегии и Голландии. MegaCortex появился на ландшафте чуть позже — в мае 2019 года. Его целями были организации такого же масштаба, как и у LockerGoga.
Операторы LockerGoga и MegaCortex проникают в корпоративные сети с помощью эксплойтов, фишинговых атак, SQL-инъекций и украденных учётных данных. Сразу после проникновения в сеть киберпреступники устанавливают знаменитый инструмент для пентеста — Cobalt Strike. Благодаря этому у атакующих открывается целый спектр возможностей: выполнять PowerShell-скрипты, повышать права в системе и тому подобное.
Известно, что злоумышленники находятся в скомпрометированной сети несколько месяцев, после чего начинают устанавливать LockerGoga или MegaCortex. Скорее всего, до развёртывания вымогателей преступники просто собирают данные. В процессе установки шлифовальщиков атакующие выполняют файл kill.bat или stop.bat, предназначенный для остановки процессов и служб антивирусных программ.
Расшифровщика все еще нет. Страдают промышленные производства.
Читайте также на АКБ:
Кто ты, LockerGoga, гроза заводов? Вайпер, троян, вымогатель?