Вирусы-вымогатели (шифровальщики)
Основная статья: Вирусы-вымогатели (шифровальщики) Ransomware
Хроника
2024
ФБР получило 7 тыс. ключей дешифрования вируса-вымогателя LockBit и начало помогать людям разблокировать компьютеры
Федеральное бюро расследований США (ФБР) объявило о получении более 7 тыс. ключей дешифрования для вируса-вымогателя LockBit, что позволяет агентству помогать жертвам этого вредоносного ПО восстановить доступ к своим данным. Об этом сообщил 6 июня 2024 года Брайан Ворндран, помощник директора кибернетического подразделения ФБР.
По словам Ворндрана, сбой в работе LockBit позволил ФБР получить ключи, и теперь подразделение активно помогает пострадавшим вернуть свои данные. Агентство призывает всех, кто стал жертвой этой кибератаки, обратиться в центр жалоб на интернет-преступления для получения помощи.
Ворндран отметил, что этот шаг стал возможен спустя почти три месяца после того, как LockBit был отключен в ходе международной операции правоохранительных органов. Несмотря на это, менее чем через неделю, группа вернулась в сеть. Сейчас количество доступных ключей дешифрования значительно превышает изъятые ранее 1000 ключей в ходе февральских рейдов.Илья Петухов, Directum: Многие компании уперлись в потолок цифровизации. Пробить его может искусственный интеллект 
В феврале 2024 года власти Великобритании, США и Австралии объявили о новых санкциях против LockBit, назвав имя предполагаемого администратора группы — россиянина Дмитрия Хорошева, известного как LockBitSupp. По данным правоохранительных органов, власти США предлагали вознаграждение в 10 млн долларов за раскрытие его личности. В результате его идентификации он был подвергнут санкциям со стороны Министерства иностранных дел Великобритании, Управления по контролю за иностранными активами Министерства финансов США и Министерства иностранных дел Австралии.
Эрих Крон, специалист по повышению осведомленности о безопасности компании KnowBe4 Inc., отметил важность сохранения зашифрованных данных, даже если они были восстановлены из резервных копий.
 | Инфраструктура неоднократно подвергалась атакам, и ключи дешифрования становились доступными, — отметил Крон. — Даже организации, которые восстанавливали данные из резервных копий, часто сталкивались с нехваткой некоторых данных. В таких случаях предоставленные ключи дешифровки могут помочь восстановить утраченную информацию. Безусловно, возможность восстановить данные — это приятно, однако это не решает проблему для тех организаций, чьи данные были обнародованы за отказ платить выкуп. К сожалению, шифрование — это лишь часть проблемы.[1] |  |
Лидер группировки попал под санкции США
7 мая 2024 года США ввели санкции против россиянина Дмитрия Хорошева, который, как утверждается, является лидером крупнейшей в мире группировки хакеров-вымогателей LockBit. За информацию, которая приведет к его аресту, назначено вознаграждение в размере $10 млн. Подробнее здесь.
2023
Знаменитая группировка вымогателей объявила о воровстве информации у Boeing
В конце октября на сайте одной из наиболее активных группировок вымогателей LockBit появилось сообщение о взломе информационных систем компании Boeing с помощью неизвестной ранее уязвимости и организации утечки конфиденциальных данных. Хакеры опубликовали полученные от компании данные. Подробнее
Атака вируса-вымогателя на ИТ-системы Varian парализовала работу оборудования в больницах
В начале августа 2023 года компания Siemens Healthineers сообщила о том, что компьютерная инфраструктура ее дочерней организации Varian Medical Systems подверглась кибератаке, за которой стоит группировка вымогателей LockBit. Хакерское вторжение парализовало работу оборудования в медицинских учреждениях. Подробнее здесь.
Работа крупнейшего порта Японии парализована из-за атаки вируса-вымогателя
5 июля 2023 года администрация крупнейшего грузового порта Японии, расположенного в городе Нагоя, сообщила о хакерском вторжении. В результате атаки вируса-вымогателя компьютерные системы оказались парализованы. Подробнее здесь.
Хакеры выложили в открытый доступ данные 8,9 млн пациентов одной из крупнейших в США сеть стоматологий, которая отказалась платить выкуп в $10 млн
26 мая 2023 года компания MCNA Dental (Managed Care of North America), один из крупнейших в США поставщиков стоматологических услуг и сервисов медицинского страхования, сообщила о взломе своей информационной инфраструктуры. Киберпреступники украли данные приблизительно о 8,9 млн пациентов. Подробнее здесь.
Банда вымогателей LockBit начала применять шифровальщик на базе кода нашумевшего вредоноса Conti
Банда вымогателей LockBit снова начала использовать сторонние шифровальщики в своих атаках. На этот раз злоумышленники воспользовались программой, основанной на утечке исходного кода Conti. Об этом стало известно 2 февраля 2023 года.
С момента начала своей активности LockBit использовала множество вариаций различных шифровальщиков данных.
Банда вымогателей Conti была расформирована в мае 2022 года после серии утечек данных. В сеть было слито около 170 тысяч внутренних сообщений киберпреступников, а также исходный код одноимённого шифровальщика. Вскоре после утечки исходного кода Conti — другие хакерские группировки начали использовать его для создания своих собственных шифровальщиков.
Аналитик вредоносных программ, известный как CyberGeeksTech, произвёл обратную разработку (reverse-engineering) полученного образца LockBit Green и сообщил, что он определенно основан на шифраторе Conti.
| | Странно, что они решили создать полезную нагрузку на основе Conti, у них же есть свой собственный шифровальщик, — сообщил CyberGeeksTech. | |
При тестировании образца на виртуальной машине было замечено, что записка с требованием выкупа была изменена. Используется старый шаблон от LockBit 3.0.
Также было замечено, что шифровальщик добавляет к зашифрованным файлам расширение «.fc59d76b», а не «.lockbit», как это было раньше. Возможно, расширение не фиксированное, а отличается от запуска к запуску вредоноса.
Пока исследователи ломают голову, зачем группировка LockBit использует шифровальщик на основе Conti, в сети уже строят теории заговора. Некоторые специалисты по безопасности считают, что за LockBit Green как раз и стоят бывшие участники банды Conti, и им банально удобнее пользоваться своей собственной разработкой[2].
2022
Японская полиция научилась разблокировать компьютеры, зараженные LockBit
В конце декабря 2022 года появилась информация о том, что правоохранительным органам Японии удалось успешно восстановить данные нескольких компаний, атакованных опасным вирусом-вымогателем.
Речь идёт о вредоносной программе LockBit. Она появилась ориентировочно в конце 2019 года и быстро стала одним из самых распространённых шифровальщиков-вымогателей. Цели варьируются от крупных транснациональных корпораций до местных органов власти. LockBit автоматически отыскивает подходящую жертву, распространяется по сети и зашифровывает все данные на инфицированных устройствах. После этого злоумышленники требуют выкуп за восстановление доступа к информации.
Как теперь сообщается, японской полиции удалось расшифровать корпоративные данные, заблокированные зловредом LockBit, без уплаты выкупа. В частности, с апреля 2022 года Национальное полицейское агентство Японии помогло восстановить информацию трём компаниям (в том числе из госсектора), которые стали жертвами названного вымогателя.
| | Мы смогли избежать потери данных или необходимости платить за их возврат, — сказал представитель компании Nittan, которая в сентябре 2022-го подверглась атаке LockBit. | |
Какие-либо подробности о технике восстановления зашифрованных файлов не раскрываются. Отмечается лишь, что в полиции Японии работают около 2400 следователей и технических специалистов, занимающихся киберпреступностью, в том числе около 450 экспертов, привлечённых из промышленности и научной отрасли.
Опрос, проведённый Trend Micro среди 2958 предприятий и организаций в 26 странах мира в мае и июне 2022-го, показал, что 66% из них подвергались атакам программ-вымогателей за последние три года. Причём более 40% жертв заявили, что согласились на требования злоумышленников о выплате выкупа.[3]
В ИТ-инфраструктуру оборонного гиганта Thales проник вирус-вымогатель. Хакеры требуют выкуп
11 ноября 2022 года хакеры атаковали американский филиал крупнейшей французской корпорации Thales, специализирующейся в том числе на военной электронике и средствах киберзащиты. Данные опубликованы на платформе хакерской группы LockBit. Подробнее здесь.
Завод Foxconn в Мексике атакован кибервымогателями
1 июня 2022 года стало известно о том, что LockBit 2.0, использующая одноименную программу-вымогатель, заявила, что успешно атаковала завод Foxconn в Мексике. Злоумышленники угрожают выложить украденную информацию в сеть 11 июня. Подробнее здесь.
Вирус-вымогатель LockBit начал блокировать систем клиентов Accenture
В конце августа 2021 года стало известно о том, что хакерская группа LockBit воспользовалась учетными данными, к которым был получен доступ во время кибератаки на Accenture, и начала блокировать системы клиентов компании. Подробнее здесь.
Accenture атаковал вирус-вымогатель Lockbit
В начале августа 2021 года компания Accenture стала жертвой атаки вируса-вымогателя Lockbit. Представители компании утверждают, что инцидент мало повлиял на ее деятельность. Подробнее здесь.
Смотрите также
Контроль и блокировки сайтов
- Цензура в интернете. Мировой опыт
- Цензура (контроль) в интернете. Опыт Китая, Компьютерная группа реагирования на чрезвычайные ситуации Китая (CERT)
- Цензура (контроль) в интернете. Опыт России, Политика Роскомнадзора по контролю интернета, ГРЧЦ
- Запросы силовиков на телефонные и банковские данные в России
- Закон о регулировании Рунета
- Национальная система фильтрации интернет-трафика (НаСФИТ)
- Как обойти интернет-цензуру дома и в офисе: 5 простых способов
- Блокировка сайтов в России
- Ревизор - система контроля блокировки сайтов в России
Анонимность
- Даркнет (теневой интернет, DarkNet)
- VPN и приватность (анонимность, анонимайзеры)
- VPN - Виртуальные частные сети
- СОРМ (Система оперативно-розыскных мероприятий)
- Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)
- Ястреб-М Статистика телефонных разговоров
Критическая инфраструктура
- Цифровая экономика России
- Электронное правительство России
- Информационная безопасность цифровой экономики России
- Защита критической информационной инфраструктуры России
- Закон О безопасности критической информационной инфраструктуры Российской Федерации
- Основы государственной политики РФ в области международной информационной безопасности
- Доктрина информационной безопасности России
- Стратегия национальной безопасности России
- Соглашение стран СНГ в борьбе с преступлениями в сфере информационных технологий
- Автономный интернет в России
- Киберполигон России для обучения информационной безопасности
- Национальная биометрическая платформа (НБП)
- Единая биометрическая система (ЕБС) данных клиентов банков
- Биометрическая идентификация (рынок России)
- Каталог решений и проектов биометрии
- Единая сеть передачи данных (ЕСПД) для госорганов (Russian State Network, RSNet)
- Статья:Единая система программной документации (ЕСПД).
- Сеть передачи данных органов государственной власти (СПДОВ)
- Единая сеть электросвязи РФ
- Единый портал государственных услуг (ФГИС ЕПГУ)
- Гособлако - Государственная единая облачная платформа (ГЕОП)
- Госвеб Единая платформа интернет-порталов органов государственной власти
Импортозамещение
- Импортозамещение в сфере информационной безопасности
- Обзор: Импортозамещение информационных технологий в России
- Главные проблемы и препятствия импортозамещения ИТ в России
- Преимущества замещения иностранных ИТ-решений отечественными
- Основные риски импортозамещения ИТ
- Импортозамещение информационных технологий: 5 "За" и 5 "Против"
- Как импортозамещение ИТ сказалось на бизнесе иностранных вендоров? Взгляд из России
- Как запуск реестра отечественного ПО повлиял на бизнес российских вендоров
- Какие изменения происходят на российском ИТ-рынке под влиянием импортозамещения
- Оценки перспектив импортозамещения в госсекторе участниками рынка
Информационная безопасность и киберпреступность
- Киберпреступность в мире
- Требования NIST
- Глобальный индекс кибербезопасности
- Кибервойны, Кибервойна России и США, Кибервойна России и Великобритании, Кибервойна России и Украины
- Locked Shields (киберучения НАТО)
- Киберпреступность и киберконфликты : Россия, Кибервойска РФ, ФСБ, Национальный координационный центр по компьютерным инцидентам (НКЦКИ), Центр информационной безопасности (ЦИБ) ФСБ, Следственный комитет при прокуратуре РФ, Управление К БСТМ МВД России, МВД РФ, Министерство обороны РФ, Росгвардия, ФинЦЕРТ
- Число киберпреступлений в России, Русские хакеры
- Киберпреступность и киберконфликты : Украина, Киберцентр UA30, Национальные кибервойска Украины
- Национальный центр по защите данных системы здравоохранения Норвегии (HelseCERT)
- CERT NZ
- CERT-UZ Отдел технической безопасности в структуре государственного унитарного Центра UZINFOCOM
* Регулирование интернета в Казахстане, KZ-CERT
- Киберпреступность и киберконфликты : США, Пентагон, ЦРУ, АНБ, NSA Cybersecurity Directorate, ФБР, Киберкомандование США (US Cybercom), Министерства обороны США, NATO, Department of Homeland Security, Cybersecurity and Infrastructure Security Agency (CISA)
- Информационная безопасность в США
- Как США шпионили за производством микросхем в СССР
- Киберпреступность и киберконфликты : Европа, ENISA, ANSSI, Joint Cyber Unit, National Cyber Force
- Стратегия кибербезопасности ЕС
- Регулирование интернета в странах Евросоюза
- Информационная безопасность в Германии
- Информационная безопасность во Франции
- Информационная безопасность в Греции
- Информационная безопасность в Австралии
- Tactical Edge Networking (военный интернет)
- Киберпреступность и киберконфликты : Израиль
- Киберпреступность и киберконфликты : Иран
- Киберпреступность и киберконфликты : Китай
- Информационная безопасность в Китае
- Импортозамещение информационных технологий в Китае
- Киберпреступность и киберконфликты : КНДР
- Информационная безопасность в Молдавии
- Информационная безопасность в Японии
- Безопасность в интернете
- Безопасность интернет-сайтов
- Безопасность программного обеспечения (ПО)
- Безопасность веб-приложений
- Безопасность мессенджерах
- Угрозы безопасности общения в мобильной сети
- Безопасность в социальных сетях
- Киберзапугивание (кибербуллинг, киберсталкинг)
- Информационная безопасность в банках
- Информационная безопасность в судах
- CERT-GIB Computer Emergency Response Team - Group-IB
- Мошенничество с банковскими картами
- Взлом банкоматов
- Обзор: ИТ в банках 2016
- Политика ЦБ в сфере защиты информации (кибербезопасности)
- Потери организаций от киберпреступности
- Потери банков от киберпреступности
- Тренды развития ИТ в страховании (киберстрахование)
- Кибератаки
- Threat intelligence TI киберразведка
- Число кибератак в России и в мире
- Кибератаки на автомобили
- Обзор: Безопасность информационных систем
- Информационная безопасность
- Информационная безопасность в компании
- Информационная безопасность в медицине
- Информационная безопасность в электронной коммерции
- Информационная безопасность в ритейле
- Информационная безопасность (мировой рынок)
- Информационная безопасность (рынок России)
- Информационная безопасность на Украине
- Информационная безопасность в Белоруссии
- Главные тенденции в защите информации
- ПО для защиты информации (мировой рынок)
- ПО для защиты информации (рынок России)
- Pentesting (пентестинг)
- ИБ - Средства шифрования
- Криптография
- Управление инцидентами безопасности: проблемы и их решения
- Системы аутентификации
- Закон о персональных данных №152-ФЗ
- Защита персональных данных в Евросоюзе и США
- Расценки пользовательских данных на рынке киберпреступников
- Буткит (Bootkit)
- Уязвимости в ПО и оборудовании
- Джекпоттинг_(Jackpotting)
- Вирус-вымогатель (шифровальщик), Ramsomware, WannaCry, Petya/ExPetr/GoldenEye, CovidLock, Ragnar Locker, Ryuk, EvilQuest Вредонос-вымогатель для MacOS, Ransomware of Things (RoT), RegretLocker, Pay2Key, DoppelPaymer, Conti, DemonWare (вирус-вымогатель), Maui (вирус-вымогатель), LockBit (вирус-вымогатель)
- Защита от программ-вымогателей: существует ли она?
- Big Brother (вредоносная программа)
- MrbMiner (вирус-майнер)
- Защита от вирусов-вымогателей (шифровальщиков)
- Вредоносная программа (зловред)
- APT - Таргетированные или целевые атаки
- Исследование TAdviser и Microsoft: 39% российских СМБ-компаний столкнулись с целенаправленными кибератаками
- DDoS и DeOS
- Атаки на DNS-сервера
- DoS-атаки на сети доставки контента, CDN Content Delivery Network
- Как защититься от DDoS-атаки. TADетали
- Визуальная защита информации - Визуальное хакерство - Подглядывание
- Ханипоты (ловушки для хакеров)
- Руткит (Rootkit)
- Fraud Detection System (fraud, фрод, система обнаружения мошенничества)
- Каталог Антифрод-решений и проектов
- Как выбрать антифрод-систему для банка? TADетали
- Security Information and Event Management (SIEM)
- Threat intelligence (TI) - Киберразведка
- Каталог SIEM-решений и проектов
- Чем полезна SIEM-система и как её внедрить?
- Для чего нужна система SIEM и как её внедрить TADетали
- Системы обнаружения и предотвращения вторжений
- Отражения локальных угроз (HIPS)
- Защита конфиденциальной информации от внутренних угроз (IPC)
- Спуфинг (spoofing) - кибератака
- Фишинг, Фишинг в России, DMARC, SMTP
- Сталкерское ПО (программы-шпионы)
- Троян, Trojan Source (кибератака)
- Ботнет Боты, TeamTNT (ботнет), Meris (ботнет)
- Backdoor
- Черви Stuxnet Regin Conficker
- EternalBlue
- Рынок безопасности АСУ ТП
- Флуд (Flood)
- Предотвращения утечек информации (DLP)
- Скимминг (шимминг)
- Спам, Мошенничество с электронной почтой
- Социальная инженерия
- Телефонное мошенничество
- Звуковые атаки
- Warshipping (кибератака Военный корабль)
- Антиспам программные решения
- Классические файловые вирусы
- Антивирусы
- ИБ : средства защиты
- Система резервного копирования
- Система резервного копирования (технологии)
- Система резервного копирования (безопасность)
- Межсетевые экраны
