F.A.C.C.T. обнаружила новую группу хакеров-вымогателей Muliaka

Злоумышленники атакуют российские компании по меньшей мере с декабря 2023 года, сообщили в F.A.C.C.T. В январе 2024 года после атаки на российскую компанию у жертвы оказались зашифрованы Windows-системы и виртуальная инфраструктура VMware ESXi. 

• F.A.C.C.T. назвали новую группу вымогателей Muliaka: в основе названия — часть имени аккаунта почты kilamulia@proton.me, которую атакующие оставляют для связи с жертвой, и слово «муляка», обозначающее грязную мутную воду.
• Период с момента получения доступа к ИТ-инфраструктуре до начала шифрования данных занял у злоумышленников около двух недель.
• Для удаленного доступа вымогатели применяли VPN-сервис компании, а для перемещения по узлам инфраструктуры — службу удаленного управления WinRM (Windows Remote Management).
• Для распространения программы-вымогателя в сети жертвы и ее запуска на хостах Windows преступники воспользовались корпоративным антивирусом.
• Шифровальщик для Windows разработали на основе утекших исходных кодов вымогателя Conti 3. В данном случае шифрование файлов осуществлялось в два прохода. При первом максимально быстро блокировались данные жертвы, а при втором — усложнялась возможность их расшифровки и восстановления без оплаты выкупа.
• Атакующие использовали VPN компании-жертвы, но пока неясно, являлся ли он начальным доступом. Возможно, исходный вектор атаки был связан с уязвимостями в публичных приложениях или фишингом.