Нарушивший работу метро в Сан-Франциско вымогатель возобновил активность
О шифровальщике HDDCryptor (он же Mamba) стало известно в конце минувшего года после громкой атаки на агентство общественного транспорта Сан-Франциско. Тогда вымогатель инфицировал более 2 тыс. систем организации, включая панели администраторов, рабочие станции CAD, системы оплаты, SQL-базы, терминалы в отделе потерянных вещей, серверы электронной почты и печати, рабочие станции сотрудников, а также компьютеры в киосках продажи билетов. В результате атаки была парализована работа «легкого метро» Muni, из-за чего агентству пришлось целый день возить пассажиров бесплатно. За разблокировку данных операторы вымогательского ПО требовали 100 биткойнов.
После этого HDDCryptor исчез с радаров исследователей, однако в августе нынешнего года авторы вымогательского ПО вновь возобновили активность. На сей раз в сферу их интересов попали корпорации в Бразилии и Саудовской Аравии, сообщают эксперты «Лаборатории Касперского».
Схема заражения компьютерных систем организаций осталась прежней. Злоумышленники проникают в корпоративную сеть целевой организации и используют утилиту psexec для исполнения кода вымогательского ПО. Оказавшись на системе, HDDCryptor сканирует локальную сеть в поисках сетевых дисков, а затем использует утилиту Network Password Recovery для поиска и хищения учетных данных от общих сетевых папок. Далее вымогатель задействует утилиту DiskCryptor, чтобы зашифровать файлы в системе жертвы. На втором этапе HDDCryptor заменяет содержимое MBR своим загрузчиком и инициирует перезагрузку системы.
Поскольку для шифрования файлов HDDCryptor применяет легитимную утилиту DiskCryptor, использующую надежные алгоритмы шифрования, в настоящее время способов восстановить данные не существует, предупреждают исследователи.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш