Хакеры используют просочившееся в сеть программное обеспечение Conti ransomware для атак на российские компании
Хакерская группа, именующая себя NB65, воспользовалась "сливом" исходного кода ransomware (программы-вымогателя) от компании Conti для создания собственного вредоносного ПО и использует его в кибератаках на российские организации.
Цель кибератаки - Россия
В течение последнего месяца хакерская группа NB65 взламывала российские организации, похищала их данные и сливала документы в Интернет.
Среди российских организаций, подвергшихся атакам хакерской группы, - оператор документооборота "Тензор", российское космическое агентство "Роскосмос" и ВГТРК, государственная телерадиовещательная компания России.
Атака на ВГТРК была особенно значительной, поскольку она привела к предполагаемой краже 786,2 Гб данных, включая 900 000 электронных писем и 4000 файлов, которые были опубликованы на сайте DDoS Secrets.
Совсем недавно хакеры NB65 перешли к новой тактике - с конца марта они атакуют российские организации с помощью программ-вымогателей.
Ransomware на любой вкус
Злоумышленники из NB65 создали свое ransomware, используя утечку исходного кода программы-вымогателя банды Conti. Программу-вымогатель выложил в сеть бывший член команды Conti под ником Conti_Leaks. Утечка исходного кода Conti произошла после того, как участники этой группировки встали на сторону России в военной спецоперации на Украине.
Первым сообщившим об атаках NB65 был аналитик киберугроз Том Малки. Однако исследователи несмогли найти реальный образец ransomware в сети, а хакерская группа не захотела им поделиться.
Однако вчера ситуация изменилась. На VirusTotal был выложен образец исполняемого файла модифицированного Conti ransomware от NB65, что позволило специалистам получить представление о его работе.
Почти все антивирусные вендоры определили этот образец на VirusTotal как Conti, а Intezer Analyze также определил, что он использует 66% того же кода, что и обычные образцы Conti ransomware.
Специалисты попробовали запустить вымогательскую программу NB65, и обнаружили, что при шифровании файлов она добавляет расширение .NB65 к именам зашифрованных файлов.
Кроме того, эта программа создает на всем зашифрованном устройстве текстовый файл с именем R3ADM3.txt, в котором вину за свои атаки возлагают на президента России.
Представитель хакерской группы NB65 сообщил, что они взяли за основу своего шифровальщика первую утечку исходного кода Conti, но модифицировали его для каждой жертвы так, чтобы существующие дешифровщики не работали.
"Он был модифицирован таким образом, что все версии дешифратора Conti не будут работать. Каждая установка генерирует рандомизированный ключ на основе пары переменных, которые мы меняем для каждой цели", - сказал представитель NB65.
"На самом деле нет никакого способа расшифровать ключ, не связавшись с нами".
Первая мировая с приставкой кибер
Исследователи киберугроз, которые связывались с хакерами утверждают, что NB65 не получили никаких сообщений и уж тем более денег от своих жертв и, более того, злоумышленники говорят что "они их и не ожидают". А значит первую войну в киберпространстве можно считать начатой именно с этого момента.
С учетом молниеносного распространения файлов в Сети, можно предположить, что даже нескольких дней - ровно столько в свободном доступе находился исходник программы-вымогателя Conti - достаточно чтобы любой "мамкин хацкер" скачал конструктор-зловред и на "коленках смастырил" какое-нибудь 'чудо-юдо-ransomware' для поражения файлов противника. И все это под флагом "добра и справедливости".