Почему LockBit стали самой популярной хакерской группировкой вымогателей в мире?
Хакеры-вымогатели Lockbit используют одноименное вымогательское ПО и работают в формате «программа-вымогатель как услуга»(RaaS). Партнёры вносят оплату за использование их ПО, а прибыль делят с операторами Lockbit. Такая вот хакерская франшиза.
Жертвами атак группировки чаще всего становятся США, Китай, Индия, Индонезия, Украина, Франция, Великобритания и Германия, атаки как правило направлены на госучреждения, финансовую сферу, предприятия промышленных товаров и сферу здравоохранения.
В числе жертв LockBit ransomware есть компания SpaceX, гонконгская авиастроительная компания, авиакомпания Таиланда Nik Air, Accenture, Entrust, Continental и многие другие.
Интересная особенность LockBit в том, что ее нельзя запрограммировать на атаки против России и СНГ. Поэтому многие ИБ-специалисты думают, что группировка имеет российские корни.
К тому же, парни настолько заботятся о своей анонимности, что создали свою программу вознаграждений за обнаружения ошибок и идентификацию личности авторов программы. За обнаружение ошибки они готовы заплатить в рамках своей Bug Bounty до 1 млн долларов.
В прошлом году на вебинаре Global Treat Forecast группировку признали одной из самых серьёзных угроз в настоящее время.
#хакерскиегруппировки
Хакеры-вымогатели Lockbit используют одноименное вымогательское ПО и работают в формате «программа-вымогатель как услуга»(RaaS). Партнёры вносят оплату за использование их ПО, а прибыль делят с операторами Lockbit. Такая вот хакерская франшиза.
Жертвами атак группировки чаще всего становятся США, Китай, Индия, Индонезия, Украина, Франция, Великобритания и Германия, атаки как правило направлены на госучреждения, финансовую сферу, предприятия промышленных товаров и сферу здравоохранения.
В числе жертв LockBit ransomware есть компания SpaceX, гонконгская авиастроительная компания, авиакомпания Таиланда Nik Air, Accenture, Entrust, Continental и многие другие.
Интересная особенность LockBit в том, что ее нельзя запрограммировать на атаки против России и СНГ. Поэтому многие ИБ-специалисты думают, что группировка имеет российские корни.
К тому же, парни настолько заботятся о своей анонимности, что создали свою программу вознаграждений за обнаружения ошибок и идентификацию личности авторов программы. За обнаружение ошибки они готовы заплатить в рамках своей Bug Bounty до 1 млн долларов.
В прошлом году на вебинаре Global Treat Forecast группировку признали одной из самых серьёзных угроз в настоящее время.
#хакерскиегруппировки
Самая активная группировка хакеров-вымогателей 2021 года.
В 2021 году про ReVil писали все: профильные телеграм-каналы, российские и зарубежные ИБ-медиа. Что, к слову, совсем не удивляло, учитывая количество атак от ReVil и размеры выкупов, которые они просили за расшифровку данных компаний.
Некоторые их жертвы выходили из строя на долгое время, пока их данные были зашифрованы, а хакеры ждали деньги за дешифратор.
С помощью своего вредоносного ПО хакеры атаковали сети компании, шифровали файлы и требовали выкуп, угрожая слить данные в открытый доступ.
В 2021 году группировка атаковала американскую IT-компанию Kaseya, подрядчика Apple, Acer, тайваньского поставщика оборудования Quanta Computer и многих других.
Известно как минимум о 237 жертвах хакерских атак группировки.
Работала группировка, как и многие в тот год, по модели RaaS(программа как услуга) и атаковала преимущественно крупные компании, которые могли заплатить большой выкуп в несколько десятков или сотен миллионов долларов.
Внезапно инфраструктура группировки была отключена после очередной резонансной атаки. ИБ-специалисты выдвигали разные версии такого хода событий. Предполагалось, что злоумышленники оставили след во время атаки на Kaseya.
Позже по запросу американских спецслужб ФСБ задержала членов группировки Revil в Москве.
#хакерскиегруппировки
В 2021 году про ReVil писали все: профильные телеграм-каналы, российские и зарубежные ИБ-медиа. Что, к слову, совсем не удивляло, учитывая количество атак от ReVil и размеры выкупов, которые они просили за расшифровку данных компаний.
Некоторые их жертвы выходили из строя на долгое время, пока их данные были зашифрованы, а хакеры ждали деньги за дешифратор.
С помощью своего вредоносного ПО хакеры атаковали сети компании, шифровали файлы и требовали выкуп, угрожая слить данные в открытый доступ.
В 2021 году группировка атаковала американскую IT-компанию Kaseya, подрядчика Apple, Acer, тайваньского поставщика оборудования Quanta Computer и многих других.
Известно как минимум о 237 жертвах хакерских атак группировки.
Работала группировка, как и многие в тот год, по модели RaaS(программа как услуга) и атаковала преимущественно крупные компании, которые могли заплатить большой выкуп в несколько десятков или сотен миллионов долларов.
Внезапно инфраструктура группировки была отключена после очередной резонансной атаки. ИБ-специалисты выдвигали разные версии такого хода событий. Предполагалось, что злоумышленники оставили след во время атаки на Kaseya.
Позже по запросу американских спецслужб ФСБ задержала членов группировки Revil в Москве.
#хакерскиегруппировки
Навигация по каналу!
Весь контент который публикуется, помечается следующими тегами:
#статья
#гайд
#новость
#подборка
#история
#рекомендация
#дайджест
#обзор
#хакерскиегруппировки
#вредоносы
#литература
#полезныйсофт
А также пользуйтесь поиском в канале.
Весь контент который публикуется, помечается следующими тегами:
#статья
#гайд
#новость
#подборка
#история
#рекомендация
#дайджест
#обзор
#хакерскиегруппировки
#вредоносы
#литература
#полезныйсофт
А также пользуйтесь поиском в канале.
Хакерская группировка, держащая в страхе корпорации и возглавляемая подростком? В наше время возможно все.
Сегодня мы расскажем вам о группировке Lapsus$, жертвами которой относительно недавно стали Vodafone, Nvidia, Microsoft, Samsung и другие известные компании.
Впервые о ней стало известно в декабре 2021, когда было взломано министерство здравоохранения Бразилии.
Подростковая хакерская группировка часто после атак сливала исходный код и проприетарные данные своих жертв, что приводило к утечкам данных.
Эксперты считают, что члены Lapsus$ были мотивированы не финансовыми интересами, а желанием сделать себе имя в хакерской среде и заработать определённую репутацию.
Несмотря на такую версию, хакеры не брезговали требованием выкупа от компаний, угрожая слить данные.
Силовики по всему миру по-прежнему пытаются распотрошить структуру Lapsus$, задерживая в разных частях планеты подростков , являющихся членами группировки, но хакеры по-прежнему продолжают кошмарить бизнес по всему миру.
Сколько всего хакеров в объединении — не ясно. Очевидно, что у группировки есть развитая сеть по всему миру, а значит атаки от их имени ещё продолжатся.
#хакерскиегруппировки
Сегодня мы расскажем вам о группировке Lapsus$, жертвами которой относительно недавно стали Vodafone, Nvidia, Microsoft, Samsung и другие известные компании.
Впервые о ней стало известно в декабре 2021, когда было взломано министерство здравоохранения Бразилии.
Подростковая хакерская группировка часто после атак сливала исходный код и проприетарные данные своих жертв, что приводило к утечкам данных.
Эксперты считают, что члены Lapsus$ были мотивированы не финансовыми интересами, а желанием сделать себе имя в хакерской среде и заработать определённую репутацию.
Несмотря на такую версию, хакеры не брезговали требованием выкупа от компаний, угрожая слить данные.
Силовики по всему миру по-прежнему пытаются распотрошить структуру Lapsus$, задерживая в разных частях планеты подростков , являющихся членами группировки, но хакеры по-прежнему продолжают кошмарить бизнес по всему миру.
Сколько всего хакеров в объединении — не ясно. Очевидно, что у группировки есть развитая сеть по всему миру, а значит атаки от их имени ещё продолжатся.
#хакерскиегруппировки
Как русскоязычные хакеры Conti остановили жизнь целой страны
Conti — одна из группировок работающих по модели RaaS(программа как услуга). Разработчики малвари взяли на себя сам вредонос и платежные сайты, а их бизнес-партнёры взломы сетей жертв и шифровку устройств.
Средний размер выкупа, который требуют члены Conti более 700 000 долларов.
В апреле прошлого года Conti совершила самую крупную атаку. Все началось с Минфина Коста-Рики и закончилось захватом 27 различных учреждений страны в ходе серии атак, которые шли несколько недель. Властям страны даже пришлось объявлять чрезвычайное положение и искать злоумышленников внутри страны.
А США бесплатно предоставили ПО от Microsoft, IBM и Cisco для Коста-Рики. Позднее Госдепартамент США предложил вознаграждение в размере до $15 млн. за поимку хакеров.
«Кампания Conti в Коста-Рике была отчаянной последней попыткой получить какой-либо титул, что вызвало ажиотаж вокруг их действий», — заявил Шмуэль Гихон, исследователь безопасности израильской компании Cyberint.
После атаки Conti распалась.
#хакерскиегруппировки
Conti — одна из группировок работающих по модели RaaS(программа как услуга). Разработчики малвари взяли на себя сам вредонос и платежные сайты, а их бизнес-партнёры взломы сетей жертв и шифровку устройств.
Средний размер выкупа, который требуют члены Conti более 700 000 долларов.
В апреле прошлого года Conti совершила самую крупную атаку. Все началось с Минфина Коста-Рики и закончилось захватом 27 различных учреждений страны в ходе серии атак, которые шли несколько недель. Властям страны даже пришлось объявлять чрезвычайное положение и искать злоумышленников внутри страны.
А США бесплатно предоставили ПО от Microsoft, IBM и Cisco для Коста-Рики. Позднее Госдепартамент США предложил вознаграждение в размере до $15 млн. за поимку хакеров.
«Кампания Conti в Коста-Рике была отчаянной последней попыткой получить какой-либо титул, что вызвало ажиотаж вокруг их действий», — заявил Шмуэль Гихон, исследователь безопасности израильской компании Cyberint.
После атаки Conti распалась.
#хакерскиегруппировки
Как хакерская атака оставила Америку без бензина
В 2021 году на оператора крупневшего топливопровода в США Colonial Pipeline была совершена атака ransomware, в результате чего компания была вынуждена временно приостановить работу трубопровода. Правительство США из-за инцидента даже объявляло режим ЧП. Почти половина Восточного побережья страны осталась под угрозой дефицита топлива. Средняя цена галлона бензина по стране тогда поднималась до рекордных значений за 7 лет.
Ответственность за атаку взяла на себя группировка Darkside, которая использовала для взлома программу-вымогатель. В результате Colonial Pipeline выплатила хакерам $5 млн в крипте, чтобы получить доступ к зашифрованным данным и восстановить поставки бензина и топлива.
Группировка появилась в августе 2020, а в ноябре объявила о привлечении партнеров по программе RaaS (рансомварь, как услуга).
По классике в инциденте объявили русских хакеров, что одновременно было и странным и закономерным: странным, потому что зачем прогосударственной группировке работать по RaaS-модели? А закономерно, потому что Darkside почему-то набирали только русскоговорящих хакеров.
По итогу, к слову, Darkside накрыли. Компаниям выдали дешифраторы. Сервера группировки изъяли.
Life-Hack [Жизнь-Взлом]/Хакинг
#хакерскиегруппировки
#вредоносы
В 2021 году на оператора крупневшего топливопровода в США Colonial Pipeline была совершена атака ransomware, в результате чего компания была вынуждена временно приостановить работу трубопровода. Правительство США из-за инцидента даже объявляло режим ЧП. Почти половина Восточного побережья страны осталась под угрозой дефицита топлива. Средняя цена галлона бензина по стране тогда поднималась до рекордных значений за 7 лет.
Ответственность за атаку взяла на себя группировка Darkside, которая использовала для взлома программу-вымогатель. В результате Colonial Pipeline выплатила хакерам $5 млн в крипте, чтобы получить доступ к зашифрованным данным и восстановить поставки бензина и топлива.
Группировка появилась в августе 2020, а в ноябре объявила о привлечении партнеров по программе RaaS (рансомварь, как услуга).
По классике в инциденте объявили русских хакеров, что одновременно было и странным и закономерным: странным, потому что зачем прогосударственной группировке работать по RaaS-модели? А закономерно, потому что Darkside почему-то набирали только русскоговорящих хакеров.
По итогу, к слову, Darkside накрыли. Компаниям выдали дешифраторы. Сервера группировки изъяли.
Life-Hack [Жизнь-Взлом]/Хакинг
#хакерскиегруппировки
#вредоносы
Хакерская группировка Shadow атакует российские компании
Специалисты из Group-IB зафиксировали атаки, нацеленные на российские организации, от новой группировки вымогателей Shadow.
В арсенале хакеров вымогательское ПО, которое шифрует данные компании и требует за расшифровку выкуп от $1 до $2 млн.
Атаки фиксируются с марта этого года.
В инфраструктуру жертвы хакеры проникают через уязвимости в публичных сервисах. После шифруют данные с помощью Lockbit3(он, к слову, собран на основе исходного кода вредоносна, появившегося в открытом доступе).
В случае отказа платить выкуп, хакеры угрожают выложить данные в даркнет.
Подтвержденных случаев выплаты выкупа хакерам от российских компаний пока нет. По крайней мере, информация об этом не была обнародована.
«В ходе расследования инцидента специалистами Group-IB выявлены инструменты, аналогичные использованным в атаках неизвестной группировкой на российские банки в 2018 году», — говорят в Group-IB.
#хакерскиегруппировки
Life-Hack [Жизнь-Взлом]/Хакинг
Специалисты из Group-IB зафиксировали атаки, нацеленные на российские организации, от новой группировки вымогателей Shadow.
В арсенале хакеров вымогательское ПО, которое шифрует данные компании и требует за расшифровку выкуп от $1 до $2 млн.
Атаки фиксируются с марта этого года.
В инфраструктуру жертвы хакеры проникают через уязвимости в публичных сервисах. После шифруют данные с помощью Lockbit3(он, к слову, собран на основе исходного кода вредоносна, появившегося в открытом доступе).
В случае отказа платить выкуп, хакеры угрожают выложить данные в даркнет.
Подтвержденных случаев выплаты выкупа хакерам от российских компаний пока нет. По крайней мере, информация об этом не была обнародована.
«В ходе расследования инцидента специалистами Group-IB выявлены инструменты, аналогичные использованным в атаках неизвестной группировкой на российские банки в 2018 году», — говорят в Group-IB.
#хакерскиегруппировки
Life-Hack [Жизнь-Взлом]/Хакинг
FIN7 — неубиваемые хакеры
FIN7 изветстна ИБ-сообществу тем, что специализировалась на карте финансовых данных компаний и нелегальном получении доступа к инфраструктуре точек продаж.
Метод взлома — целевой фишинг и сложные приемы социальной инженерии, что, к слову, ресурсозатратно и требует особых навыков.
Известно, что перед тем, как отправить своей цели фишинговое письмо, они могли создать впечатление «нормального» общения, чтобы усыпить бдительность.
Водоносное ПО, которое они использовали раньше, было с макросами и могло создавать повторяющиеся действия для поддержания зловреда в рабочем состоянии. Позже к нему добавлялись дополнительные модули, которые он запускал в системной памяти.
С 2013 по 2018 год группировка атаковала более 100 компаний на территории США. ФБР считают, что хакеры финансируются Кремлем.
В июле 2022 года сообщалось, что хакеры перешли на модель RaaS(рансомварь как услуга), что, кстати, может говорить о ее независимости от властей. Группировка явно финансово мотивирована. Хотя, это не мешает северокорейским хакерам из Lazarus руководствоваться и политическими мотивами.
Не так давно заявлялось, что FIN7 вернулась с новым штаммом вредоносного ПО Domino и объединилась с хакерами из Conti, чтобы начать собственную вредоносную кампанию.
Domino — система, которая крадет пароли, конфиденциальную информацию из зараженных систем, шифровать файлы и вымогать выкуп за их расшифровку. Атакую теперь наименее защищенные организации — компании из туриндустрии.
#хакерскиегруппировки
Life-Hack [Жизнь-Взлом]/Хакинг
FIN7 изветстна ИБ-сообществу тем, что специализировалась на карте финансовых данных компаний и нелегальном получении доступа к инфраструктуре точек продаж.
Метод взлома — целевой фишинг и сложные приемы социальной инженерии, что, к слову, ресурсозатратно и требует особых навыков.
Известно, что перед тем, как отправить своей цели фишинговое письмо, они могли создать впечатление «нормального» общения, чтобы усыпить бдительность.
Водоносное ПО, которое они использовали раньше, было с макросами и могло создавать повторяющиеся действия для поддержания зловреда в рабочем состоянии. Позже к нему добавлялись дополнительные модули, которые он запускал в системной памяти.
С 2013 по 2018 год группировка атаковала более 100 компаний на территории США. ФБР считают, что хакеры финансируются Кремлем.
В июле 2022 года сообщалось, что хакеры перешли на модель RaaS(рансомварь как услуга), что, кстати, может говорить о ее независимости от властей. Группировка явно финансово мотивирована. Хотя, это не мешает северокорейским хакерам из Lazarus руководствоваться и политическими мотивами.
Не так давно заявлялось, что FIN7 вернулась с новым штаммом вредоносного ПО Domino и объединилась с хакерами из Conti, чтобы начать собственную вредоносную кампанию.
Domino — система, которая крадет пароли, конфиденциальную информацию из зараженных систем, шифровать файлы и вымогать выкуп за их расшифровку. Атакую теперь наименее защищенные организации — компании из туриндустрии.
#хакерскиегруппировки
Life-Hack [Жизнь-Взлом]/Хакинг
Emotet — один из самых известных банковских троянов
Впервые вредонос обнаружили в 2014 году, когда он атаковал немецкие и австрийские банки. Злоумышленники использовали его для получения доступа к учетным данным пользователей. Спустя время троян захватил весь мир.
Распространялся вредонос через фишинговые письма на почту, которые содержали ссылку с зараженным документом. Спам-письма практически не отличались от обычных, поэтому жертвами трояна стали многие пользователи.
Позже программа эволюционировала и стала дроппером, который устанавливает другое ПО на зараженные устройства.
Если удалось заразить устройство жертвы, троян читал электронную переписку пользователя и создавал от его имени письма другим пользователям, так же с зараженной ссылкой, поэтому распространялся он достаточно эффективно.
Изначально атаковались только устройства Windows, но позже в поле зрения злоумышленников попали и Apple-устройства.
Мотивация всегда была финансовой.
Интересна, что код Emoted немного меняется каждый раз, когда к нему обращаются, что делает его особенно опасным.
С момента выявления в 2014 году до наших дней вредонос сильно апгрейднули и он снова начал проявлять признаки жизни.
Поэтому история, вероятно, только начинается. Как себя проявит вредонос в ближайшее время, стоит только гадать.
#хакерскиегруппировки
Life-Hack [Жизнь-Взлом]/Хакинг
Впервые вредонос обнаружили в 2014 году, когда он атаковал немецкие и австрийские банки. Злоумышленники использовали его для получения доступа к учетным данным пользователей. Спустя время троян захватил весь мир.
Распространялся вредонос через фишинговые письма на почту, которые содержали ссылку с зараженным документом. Спам-письма практически не отличались от обычных, поэтому жертвами трояна стали многие пользователи.
Позже программа эволюционировала и стала дроппером, который устанавливает другое ПО на зараженные устройства.
Если удалось заразить устройство жертвы, троян читал электронную переписку пользователя и создавал от его имени письма другим пользователям, так же с зараженной ссылкой, поэтому распространялся он достаточно эффективно.
Изначально атаковались только устройства Windows, но позже в поле зрения злоумышленников попали и Apple-устройства.
Мотивация всегда была финансовой.
Интересна, что код Emoted немного меняется каждый раз, когда к нему обращаются, что делает его особенно опасным.
С момента выявления в 2014 году до наших дней вредонос сильно апгрейднули и он снова начал проявлять признаки жизни.
Поэтому история, вероятно, только начинается. Как себя проявит вредонос в ближайшее время, стоит только гадать.
#хакерскиегруппировки
Life-Hack [Жизнь-Взлом]/Хакинг
У FIN7 новый апгрейд
Знаменитая хакерская группировка, которая стала известна всему миру после ряда успешных атак на банки, вернулась.
В апреле мы рассказывали историю FIN7 и тогда последняя их активность ассоциировалась у ИБ-сообщества с атаками на туриндустрию. Хакеры успели объединиться с Conti и в картеле разработали новый штамм вредоносного ПО Domino, которое умеет красть конфиденциальную информацию и шифровать файлы.
Microsoft заявили, что теперь хакеры используют Clop для атак на организации.
FIN7 обычно связывают с другими семействами вымогательского ПО: Black Basta, DarkSide, REvil и LockBit.
По данным Microsoft новая кампания распространения вымогательского ПО первая после длительного перерыва с конца 2021 года.
Новая стратегия хакеров — переход от кради платежных данных к вымогательству. Мотив тот же — финансовый.
Кстати, ИБ сообщество считает, что именно FIN7 стояли за атакой на Colonial Pipeline в 2021, из-за которой в США на несколько дней случился коллапс на бензозаправках.
В общем, произошло то, что часто бывает в киберпреступном мире: хакеры реинкарнировались.
#хакерскиегруппировки
Life-Hack [Жизнь-Взлом]/Хакинг
Знаменитая хакерская группировка, которая стала известна всему миру после ряда успешных атак на банки, вернулась.
В апреле мы рассказывали историю FIN7 и тогда последняя их активность ассоциировалась у ИБ-сообщества с атаками на туриндустрию. Хакеры успели объединиться с Conti и в картеле разработали новый штамм вредоносного ПО Domino, которое умеет красть конфиденциальную информацию и шифровать файлы.
Microsoft заявили, что теперь хакеры используют Clop для атак на организации.
FIN7 обычно связывают с другими семействами вымогательского ПО: Black Basta, DarkSide, REvil и LockBit.
По данным Microsoft новая кампания распространения вымогательского ПО первая после длительного перерыва с конца 2021 года.
Новая стратегия хакеров — переход от кради платежных данных к вымогательству. Мотив тот же — финансовый.
Кстати, ИБ сообщество считает, что именно FIN7 стояли за атакой на Colonial Pipeline в 2021, из-за которой в США на несколько дней случился коллапс на бензозаправках.
В общем, произошло то, что часто бывает в киберпреступном мире: хакеры реинкарнировались.
#хакерскиегруппировки
Life-Hack [Жизнь-Взлом]/Хакинг