Найти в Дзене
CISOCLUB - информационная безопасность
10,7 тыс подписчиков

Программа-вымогатель Sarcoma: новая угроза и тактики обхода защиты

10
3 мин
Оглавление

Программа-вымогатель Sarcoma: новая угроза в мире кибербезопасности

С момента обнаружения в октябре 2024 года программа-вымогатель Sarcoma быстро приобрела статус серьёзной угрозы в сфере киберпреступности. Используя сложные методы атак и современные инструменты, эта группа демонстрирует тревожную тенденцию в поведении хакеров — целенаправленное проникновение и масштабные атаки на организации по всему миру.

Методы атак и профиль жертв

Группа Sarcoma применила в своей деятельности ряд высокотехнологичных приёмов, включая:

  • эксплуатацию уязвимостей нулевого дня (zero-day);
  • использование инструментов удалённого мониторинга и управления (RMM) для разведки сети и кражи учетных данных;
  • проверку хостов с помощью эхо-запросов ICMP для подтверждения доступности перед дальнейшими действиями;
  • запуск сценариев PowerShell для удаления следов после шифрования.

Одной из громких жертв стал крупный скандал вокруг Smart Media Group в Болгарии, где злоумышленникам удалось вывести 40 ГБ конфиденциальной информации.

Пострадали около 100 человек в разных странах, в первую очередь в США, Италии, Канаде, Австралии, Великобритании и Бразилии. Наибольшее количество пострадавших (19 подтверждённых случаев) зафиксировано в США, что подчёркивает стратегическое нацеливание на регионы с развитой цифровой инфраструктурой, где вероятность выплаты выкупа высока.

Анализ жертв показывает, что злоумышленники предпочитают организации с доходом от 1 до 10 миллионов долларов, что говорит о нацеленности на компании, которые:

  • имеют достаточно ресурсов для выплаты выкупа;
  • но не обладают продвинутыми мерами информационной безопасности.

Технические особенности вредоносной программы Sarcoma

Sarcoma демонстрирует продуманный и изощрённый подход к уклонению от обнаружения и эффективному шифрованию данных:

  • Отказ от заражения в Узбекистане: версия для Windows проверяет наличие узбекской раскладки клавиатуры, чтобы избежать атаки на местные системы — изящный ход для минимизации рисков со стороны местных правоохранительных органов.
  • Гибридное шифрование: используется комбинация RSA (асимметричное шифрование) и ChaCha20 (симметричное шифрование), обеспечивающая быструю обработку данных и надёжную маскировку ключей.
  • Удаление следов: выполнение сценариев PowerShell, очищающих системные дневники и скрывающих следы деятельности после шифрования.
  • Особенности Linux-версии: нацеливание на VMware-системы с удалением моментальных снимков (snapshots), что серьёзно ограничивает возможности восстановления данных жертвы без выплаты выкупа.

Стратегии и тактика группы Sarcoma

Согласно исследованиям, Sarcoma действует в обход классических ограничений и демонстрирует готовность атаковать западные организации при сохранении незаметности и избегая при этом определённые юрисдикции, в частности Узбекистан. Это свидетельствует о:

  • партнёрстве с брокерами первоначального доступа (initial access brokers);
  • использовании современных техник уклонения и адаптации к разным целям;
  • применении оппортунистических методов целевого выбора жертв.

Рекомендации по защите

Эксперты в области кибербезопасности акцентируют внимание на необходимости усиления защитных мер, среди которых:

  • тщательное управление исправлениями безопасности (patch management);
  • эффективная сегментация корпоративной сети для ограничения распространения вредоносного ПО;
  • всестороннее обучение сотрудников, направленное на повышение осведомлённости о современных угрозах.

Подобные шаги особенно важны в условиях роста активности сложных целевых атак (APT), которые проявляют невероятную гибкость и изобретательность в обходе традиционных мер безопасности.

Появление Sarcoma — очередное свидетельство того, что цифровая безопасность требует постоянного внимания и обновления стратегий защиты в соответствии с меняющимся ландшафтом киберугроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Программа-вымогатель Sarcoma: новая угроза и тактики обхода защиты".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Взгляните на эти темы
Гаджеты и электроника
Умные часы
Найти тему
Игровые консоли
Колонки и аудиосистемы
VR-очки
Планшеты
Фитнес-трекеры
Нейронные сети (Neural Networks)
Социальные сети и мессенджеры
Технологии будущего
Кибербезопасность
IT (информационные технологии)
Смартфоны
Камеры и фототехника
Графические планшеты
Ноутбуки
Наушники
Электронные книги
Машинное обучение (Machine Learning)
Форум «Цифровые решения»
Кибербезопасность
25,6 тыс интересуются