10 июня компания по кибербезопасности Recorded Future сообщила, что с февраля на ряде хакерских форумов по хакерским атакам была проведена атака вымогателей под названием «Thanos».
Согласно докладГруппа Insikt группы Recorded Future раскрыла новую атаку «вымогателей как услуга».
Методы «вымогателей как услуга» состоят в том, что внешние хакеры могут использовать вымогателей для атаки на своих целей в обмен на соблюдение схемы распределения доходов с разработчиками путем разделения прибыли на 60–70%.
Главная особенность Thanos Ransomware
В беседе с Cointelegraph Линдсей Кей, директор по операционным результатам Insikt Group в Recorded Future, объясняет далее функцию шифрования, используемую в вымогателях:
«Thanos не обладает какими-либо особенно изощренными или новыми характеристиками, которые мы смогли идентифицировать, но замечательная особенность, обнаруженная Insikt Group и побудившая к этому исследованию, заключается в использовании вредоносным ПО метода RIPlace в процессе шифрования файлов. Ранее метод RIPlace наблюдался только в доказательстве концепции, опубликованном Nyotron, но вымогатель Thanos демонстрирует пример субъекта угрозы, производящего технику для использования во вредоносных программах ».
Конструктор вымогателей Thanos позволяет оператору настраивать примечание о выкупе программного обеспечения. Они могут изменять текст, запрашивая любую криптовалюту по своему выбору, а не только биткойны (BTC).
Хотя это рекламируемая возможность, Кей говорит, что до сих пор они не наблюдали использование Monero с вымогателями.
Уровень силы шифрования
Директор по операционной деятельности Insikt Group в Recorded Future посоветовал:
«Атаки на вымогателей, в случае успеха, могут быть чрезвычайно изнурительными для компаний. Поскольку Thanos по умолчанию использует ключ шифрования AES, который генерируется во время выполнения, без личного ключа злоумышленника, восстановление файлов невозможно. Тем не менее, чтобы свести к минимуму риск атаки с использованием Thanos, организации должны продолжать использовать лучшие методы информационной безопасности для смягчения угроз, создаваемых вымогателями ».
Ранее Cointelegraph сообщал, что хакеры DopplePaymer пропустили ряд архивных файлов, принадлежащих НАСА, через портал, управляемый бандой, включая документы по персоналу и планы проекта. Эти файлы были получены от Digital Management Inc, расположенной в Мэриленде, или DMI, которая является ИТ-подрядчиком, работающим с несколькими компаниями и государственными структурами.
