Программа-вымогатель Sarcoma: новая угроза на фоне растущей киберпреступности
Программа-вымогатель Sarcoma, впервые выявленная в октябре 2024 года, быстро стала серьезной угрозой в сфере кибербезопасности. За короткое время она превратилась из малоизвестной злоумышленной программы в масштабный инструмент атак благодаря агрессивной тактике и успешным взломам в различных отраслях и странах.
Технологии и тактика Sarcoma
Sarcoma использует передовые методы проникновения и заражения систем, включая:
- эксплойты нулевого дня;
- инструменты удаленного мониторинга и управления (RMM);
- гибридную модель шифрования с использованием RSA и ChaCha20;
- механизмы защиты от восстановления и обхода виртуальных сред.
Такой набор технологий позволил программе-вымогателю эффективно шифровать данные, используя симметричный потоковый алгоритм ChaCha20, ключ к которому защищается с помощью криптографии с открытым ключом RSA. Это гарантирует, что расшифровать файлы могут исключительно злоумышленники.
Известные инциденты и масштабы ущерба
В одном из наиболее громких инцидентов, связанном с Smart Media Group из Болгарии, хакеры удалили свыше 40 ГБ конфиденциальных данных, что говорит о серьезности угрозы и высокой эффективности атак.
Основная цель Sarcoma — крупные компании, чаще всего из стран с развитой цифровой инфраструктурой. В числе наиболее пострадавших находятся:
- Соединённые Штаты;
- Италия;
- Канада.
Особенно сильно страдают организации из США, что отражает стратегию злоумышленников по выбору наиболее прибыльных и уязвимых целей.
Географический выбор и операционная безопасность
Интересен выбор целей; при этом Sarcoma демонстрирует высокую операционную осмотрительность. Например, программа-вымогатель избегает систем в Узбекистане, используя специальные проверки национальной раскладки клавиатуры через API GetKeyboardLayout. Это служит механизмом уклонения от обнаружения и преследования со стороны местных правоохранительных органов.
Такое поведение является характерным для организованных киберпреступных групп, действующих на международном уровне и стремящихся минимизировать риск раскрытия.
Особенности работы и защита от восстановления
Анализ Sarcoma показал, что в версиях для Windows и Linux вредонос ведет себя схожим образом, используя при этом разные библиотеки, предназначенные для каждой операционной системы. Ключевые особенности программы включают:
- Активное удаление моментальных снимков виртуальных машин через инструменты командной строки VMware;
- Блокировку восстановления данных жертвы и предотвращение отката системы;
- Принципиальный подход к шифрованию и защите ключей.
Целевые аудитории и партнерства злоумышленников
Sarcoma преимущественно ориентирована на малые и средние предприятия. В операциях программы прослеживается оппортунистическая тактика, которая опирается на:
- партнерства с посредниками первоначального доступа;
- эксплуатацию уязвимостей и неправильных настроек;
- быстрое нахождение и компрометацию целей с уязвимыми точками.
В отличие от многих ransomware-групп, избегающих стран СНГ, Sarcoma проявляет «смелость», атакуя организации в различных регионах, хотя и использует специальные механизмы для исключения заражения в Узбекистане.
Важность усиления мер кибербезопасности
Масштабы ущерба и международный характер атак Sarcoma подчеркивают необходимость немедленных и скоординированных действий по усилению защиты. Эксперты рекомендуют:
- своевременное внесение патчей и обновлений;
- эффективную сегментацию сетевой инфраструктуры;
- всестороннее обучение сотрудников по вопросам кибербезопасности;
- мониторинг подозрительной активности и использование современных инструментов защиты.
Только комплексный и проактивный подход позволит снизить риски и не допустить дальнейших успешных атак от Sarcoma и подобных программ-вымогателей.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Программа-вымогатель Sarcoma: новые вызовы и тактики атак 2024".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
