Московские новости
  • Лента
  • Колумнисты
  • Мир в огне
  • Москва
  • Капитал
  • Правила игры
  • Киберпанк
  • Культурный код
  • Кино
  • Telegram
  • Дзен
  • VK
  • Контакты
  • Лента
  • Мир в огне
  • Москва
  • Капитал
  • Правила игры
  • Киберпанк
  • Культурный код
  • Кино

© Сетевое издание «Московские новости»

Свидетельство о регистрации СМИ сетевого издания «Московские новости» выдано федеральной сл ужбой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 30.10.2014 года номер ЭЛ № ФС 77 — 59721.

Редакция «Московские новости»18+

  • Лента
  • Колумнисты
  • Мир в огне
  • Москва
  • Капитал
  • Правила игры
  • Киберпанк
  • Культурный код
  • Кино

Мы используем файлы cookie, чтобы все работало нормально. Мы верим, что даже в эру побеждающего киберпанка есть место для бережного подхода к данным и конфиденциальности пользователей. Подробности — в нашей Политике конфиденциальности.

pr@mn.ru

Киберпанк,Интернет
9 апреля 2024

F.A.C.C.T. обнаружила новую группу хакеров-вымогателей Muliaka

Злоумышленники атакуют российские компании по меньшей мере с декабря 2023 года, сообщили в F.A.C.C.T. В январе 2024 года после атаки на российскую компанию у жертвы оказались зашифрованы Windows-системы и виртуальная инфраструктура VMware ESXi. 

  • F.A.C.C.T. назвали новую группу вымогателей Muliaka: в основе названия — часть имени аккаунта почты kilamulia@proton.me, которую атакующие оставляют для связи с жертвой, и слово «муляка», обозначающее грязную мутную воду.
  • Период с момента получения доступа к ИТ-инфраструктуре до начала шифрования данных занял у злоумышленников около двух недель.
  • Для удаленного доступа вымогатели применяли VPN-сервис компании, а для перемещения по узлам инфраструктуры — службу удаленного управления WinRM (Windows Remote Management).
  • Для распространения программы-вымогателя в сети жертвы и ее запуска на хостах Windows преступники воспользовались корпоративным антивирусом.
  • Шифровальщик для Windows разработали на основе утекших исходных кодов вымогателя Conti 3. В данном случае шифрование файлов осуществлялось в два прохода. При первом максимально быстро блокировались данные жертвы, а при втором — усложнялась возможность их расшифровки и восстановления без оплаты выкупа.
  • Атакующие использовали VPN компании-жертвы, но пока неясно, являлся ли он начальным доступом. Возможно, исходный вектор атаки был связан с уязвимостями в публичных приложениях или фишингом.
Фото: Freepik
Копировать ссылкуСкопировано