ФБР предупредили предприятия об атаках вымогателей LockerGoga и MegaCortex, которые способны зашифровать все устройства, подключенные к сети. LockerGoga начал активность в США и Европе в январе 2019 года, MegaCortex — в мае.
Операторы LockerGoga и MegaCortex проникают в корпоративные сети с помощью эксплойтов, фишинговых атак, SQL-инъекций и украденных учётных данных. Сразу после проникновения в сеть злоумышленники устанавливают инструмент для пентеста — Cobalt Strike. У киберпреступников открывается целый спектр возможностей: выполнять PowerShell-скрипты, повышать права в системе и тому подобное. Они находятся в скомпрометированной сети несколько месяцев, после чего начинают устанавливать LockerGoga или MegaCortex.
Скорее всего, до развёртывания вымогателей хакеры просто собирают данные. В процессе установки шифровальщиков, атакующие выполняют файл kill.bat или stop.bat, предназначенный для остановки процессов и служб антивирусных программ. Например, преступники могут отключить функции сканирования Windows Defender. LockerGoga и MegaCortex используют качественный алгоритм шифрования, поэтому вернуть файлы бесплатно, к сожалению, не получится.
https://bitdefender.ru/news/lockergoga-i-megacortex-atakuyut-kompanii/
