#ParsedReport #CompletenessMedium
08-06-2025

Over 20 Crypto Phishing Applications Found on the Play Store Stealing Mnemonic Phrases

https://cyble.com/blog/crypto-phishing-applications-on-the-play-store/

Report completeness: Medium

Threats:
Typosquatting_technique

Victims:
Crypto wallet users

Industry:
Entertainment, Financial

ChatGPT TTPs:
do not use without manual check
T1078.003, T1407, T1444, T1566.001, T1584

IOCs:
File: 21
Url: 14
IP: 1
Domain: 32
Hash: 2

Soft:
Raydium, Google Play, android

Crypto:
pancakeswap

Algorithms:
exhibit, sha1, md5, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Более 20 вредоносных приложений, нацеленных на криптовалютные кошельки, используют тактику фишинга, копируя такие приложения, как PancakeSwap, для кражи мнемонических фраз. Распространяемые через взломанные аккаунты разработчиков, они используют платформу Median для быстрого преобразования веб-сайтов в приложения и используют фишинговые URL-адреса в своих политиках конфиденциальности. Обнаруживаемая инфраструктура, связанная с несколькими фишинговыми доменами, свидетельствует о скоординированных действиях против пользователей криптовалют.
-----

Недавние исследования Cyble Research and Intelligence Labs (CRIL) выявили появление более 20 вредоносных приложений, предназначенных для атаки на пользователей криптовалютных кошельков с помощью фишинга. Эти поддельные приложения маскируются под настоящие кошельки, включая такие популярные варианты, как PancakeSwap и SushiSwap. Пользователей обманом заставляют вводить свои мнемонические фразы из 12 слов через мошеннические интерфейсы, что позволяет злоумышленникам получить доступ к их реальным кошелькам и истощить их запасы криптовалюты.

Вредоносные приложения в основном распространяются через Google Play Store через аккаунты, которые были либо скомпрометированы, либо перепрофилированы разработчиками законных приложений, таких как программы для загрузки игр и видео, в результате чего количество загрузок некоторых приложений превысило 100 000. Хакеры используют различные методы атаки, чтобы облегчить распространение этих вредоносных приложений. В частности, они включают фишинговые URL-адреса в политики конфиденциальности этих приложений и повторно используют похожие названия пакетов, что упрощает использование доверия пользователей.

Технически эти вредоносные приложения используют платформу Median, позволяющую быстро преобразовывать веб-сайты в приложения для Android. Например, в этих приложениях используется специальный фишинговый URL-адрес "hxxps://pancakefentfloyd.cz/api.php", который перенаправляет жертв на фишинговый сайт, имитирующий законный интерфейс кошелька PancakeSwap. Это взаимодействие происходит в WebView, где пользователей вводят в заблуждение, заставляя вводить свои мнемонические фразы.

Другой вариант вредоносных приложений работает без фреймворка разработки, напрямую загружая фишинговый сайт в WebView, снова выдавая себя за законный кошелек, такой как Raydium. Расследования показали, что один из фишинговых URL-адресов размещен на IP-адресе, связанном с более чем 50 другими фишинговыми доменами, что указывает на хорошо организованную инфраструктуру, направленную на кражу мнемонических фраз на нескольких криптовалютных платформах.

Эта кампания представляет собой скоординированную фишинговую операцию, направленную на быстро растущее сообщество пользователей криптовалютных кошельков. Используя, казалось бы, законные приложения и скомпрометированные учетные записи разработчиков, злоумышленники не только расширяют сферу своей деятельности, но и снижают шансы на обнаружение с помощью стандартных мер безопасности. Финансовые последствия этих атак могут быть разрушительными для жертв, учитывая необратимый характер криптовалютных транзакций. Поскольку ландшафт цифровых активов продолжает развиваться, это подчеркивает острую необходимость повышения бдительности пользователей и ответственности заинтересованных сторон, таких как магазины приложений и охранные компании, за принятие упреждающих мер по выявлению и устранению таких угроз.

#ParsedReport #CompletenessLow
08-06-2025

Threat Spotlight: Hijacked Routers and Fake Searches Fueling Payroll Heist - ReliaQuest

https://reliaquest.com/blog/threat-spotlight-payroll-fraud-attackers-stealing-paychecks-seo-poisoning/

Report completeness: Low

Actors/Campaigns:
Doppelgnger

Threats:
Seo_poisoning_technique
Residential_proxy_technique

Industry:
Telco, E-commerce

Geo:
Russia

CVEs:
CVE-2024-3080 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-2492 [Vulners]
CVSS V3.1: 9.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1078, T1090.003, T1110.003, T1190, T1204.001, T1505.003, T1555, T1566.002, have more...

IOCs:
File: 1
IP: 20

Soft:
WordPress

Languages:
javascript, php, swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная SEO-атака была нацелена на мобильные устройства с целью кражи учетных данных и мошенничества с оплатой труда, используя поддельные страницы входа в систему, которые занимали высокие позиции в результатах поиска. Используя незащищенные сети, злоумышленники использовали методы фишинга и инструмент под названием Pusher для отслеживания украденных учетных данных, что усложняло усилия по обнаружению из-за быстрой смены IP-адресов со взломанных локальных маршрутизаторов. Организациям рекомендуется внедрять многофакторную аутентификацию и отслеживать домены, выдающие себя за пользователей, для устранения этих возникающих угроз.
-----

Сложная SEO-атака была нацелена на мобильные устройства, что привело к краже учетных данных и мошенничеству с платежными ведомостями. Злоумышленники создали поддельные страницы для входа, имитирующие законные платежные порталы, и заняли высокие позиции в поисковых системах с помощью манипулятивных методов SEO. Атака была проведена из-за отсутствия надежной защиты мобильных устройств сотрудников, подключенных к незащищенным сетям. Первоначальные расследования не выявили признаков SEO-атаки, но тесты выявили, что мошеннические сайты занимают лидирующие позиции в результатах поиска, связанных с начислением заработной платы. В ходе атаки были использованы уязвимости, связанные с использованием мобильных устройств, что позволило обойти традиционные меры безопасности за пределами корпоративных сетей. Жертвы были перенаправлены на сайт WordPress, выдававший себя за портал для входа в систему Microsoft, который собирал конфиденциальную информацию с помощью HTTP POST-запросов. Для обработки этих запросов использовался PHP-файл, что указывает на настойчивость того же хакера в прошлых инцидентах. Злоумышленники использовали инструмент под названием Pusher для получения уведомлений о краже учетных данных в режиме реального времени, что позволило быстро их использовать. Быстрая смена IP-адресов в жилых домах помогла им избежать обнаружения, что усложнило отслеживание. Уязвимости в маршрутизаторах потребительского класса облегчили доступ к этим сетям. Использование непрослеживаемых прокси-сетей позволило злоумышленникам смешивать трафик и обходить меры безопасности. Организациям следует внедрять многофакторную аутентификацию (MFA) и политики условного доступа, отслеживать изменения в системе прямого пополнения счета, обучать персонал безопасному доступу и заблаговременно выявлять домены, выдающие себя за пользователей. Для борьбы с развивающимися методами фишинга и кражей учетных данных необходима постоянная адаптация стратегий кибербезопасности.

#ParsedReport #CompletenessMedium
07-06-2025

Operation Futile

https://www.cverc.org.cn/head/zhaiyao/Investigation_report_on_Cyberattacks_launched_by_Taiwan_ICEFCOM_EN.pdf

Report completeness: Medium

Actors/Campaigns:
Futile (motivation: sabotage, information_theft, cyber_espionage)
Greenspot
Apt-c-62
Apt-c-64 (motivation: sabotage, cyber_espionage)
Apt-c-65 (motivation: cyber_espionage)
Apt-c-67
Green_spot

Threats:
Quasar_rat
Mirrordump_tool
Postdump_tool
Ppldump_tool
Cobalt_strike_tool
Metasploit_tool
Sliver_c2_tool
Process_injection_technique
Gotohttp_tool
Jump_desktop_tool
Poison_ivy
Gh0st_rat
Xrat_rat

Victims:
Government entities, Public service entities, Research institutions, Universities, Defense technology entities, Industry entities, Foreign affairs agencies, Critical information infrastructure, Transportation sector, Civil aviation, have more...

Industry:
Financial, Military, Iot, Logistic, Maritime, Healthcare, Government, Energy, Education, Aerospace, Media, Transport

Geo:
Chinese, Taiwan, Asian, Russia, China, Hong kong

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 12
Path: 7
Hash: 30

Soft:
Windows scheduled task, sysinternals, Chrome, Opera, Internet Explorer, Firefox, WinSCP, Linux, macOS, Android

Algorithms:
aes, exhibit, md5

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Тайваньские T-APT, включая такие группы, как APT-C-01 и APT-C-62, в основном нацелены на Китай, используя фишинг и использование веб-приложений. Они используют известные уязвимости и инструменты, такие как Cobalt Strike, для шпионажа и кражи данных, что указывает на ограниченное развитие передовых технологий.
-----

В отчете обсуждается кибершпионажная деятельность тайваньских аффилированных групп APT (APT), в совокупности именуемых T-APTS, которые действуют под эгидой Демократической прогрессивной партии (DPP) и Тайваньского командования информации, коммуникаций и электронных сил (ICEFCOM). Эти группы в первую очередь нацелены на правительственные учреждения и госслужбу, исследовательские институты и оборонный сектор материкового Китая с целью кражи конфиденциальных разведывательных данных, которые могут нарушить национальную безопасность и общественный порядок.

Одна известная группа, APT-C-01 (также известная как Poison Vine), использует фишинговую тактику для проникновения в особо ценные объекты. Во время пандемии COVID-19 она значительно активизировала свои фишинговые кампании, выдавая себя за отечественные почтовые сервисы и размещая поддельные документы, связанные с борьбой с пандемией. В 2023 году атаки группы расширились и охватили правительственные учреждения и гражданскую авиацию, часто используя фишинговые веб-сайты и поддельные документы для кражи конфиденциальных данных.

Другая группа, APT-C-62 (Viola Tricolor), преследует схожие цели с APT-C-01 и перешла от фишинга электронных писем к использованию уязвимостей в веб-приложениях. Их методология атаки включает в себя горизонтальное перемещение по скомпрометированным сетям и использование готовых инструментов для таких операций, как утечка данных.

APT-C-64 (Anonymous 64) известна своей причастностью к распространению пропаганды против материковой части Китая. Эта группа проводит кибератаки еще с 2006 года, нацеливаясь на цифровые медиа-сервисы и используя хакерские атаки для взлома общедоступного контента. Активность APT-C-64 достигла своего пика во время важных мероприятий, таких как Азиатские игры в Ханчжоу, где они были нацелены на уязвимые системы для распространения незаконной пропаганды.

APT-C-65 (Neon Pothos) специализируется на критически важной инфраструктуре в оборонном и аэрокосмическом секторах, осуществляя шпионаж и кражу данных в периоды повышенной политической напряженности между США и Тайванем. Наконец, APT-C-67 (Ursa) в основном атакует системы Интернета вещей (IoT) и сети видеонаблюдения для сбора географической и кибернетической информации.

T-APT используют различные методы первоначального доступа, в основном полагаясь на известные уязвимости в программном обеспечении и тщательную разведку для разработки персонализированных фишинговых атак. Их общая тактика заключается в использовании вредоносных вложений электронной почты, веб-атак и использовании общих слабых мест в широко используемом программном обеспечении. Группы обычно используют инструменты с открытым исходным кодом, такие как Cobalt Strike и QuasarRAT, для последующей эксплуатации, что позволяет им поддерживать постоянство и повышать привилегии в целевых сетях.

Несмотря на заявленные возможности, методы атаки, используемые T-APTs, указывают на то, что они основаны на известных уязвимостях, а не на передовых методах, что свидетельствует об ограниченности их возможностей в разработке уникального кибероружия. T-APTs уделяет особое внимание созданию документов-приманок на основе текущих событий для повышения эффективности своих фишинговых действий.

Подводя итог, этот отчет иллюстрирует расширяющуюся сферу деятельности и постоянную угрозу, исходящую от T-APT, подчеркивая их стратегическое сотрудничество и тактические подходы к кибервойне против объектов на материковой части Китая в соответствии с директивой тайваньских властей. Расследование вызывает обеспокоенность по поводу сложности и последствий киберопераций, вызванных региональной геополитической напряженностью.

#ParsedReport #CompletenessLow
08-06-2025

Active NPM Attack Escalates: 16 React Native Packages for GlueStack Backdoored Overnight

https://www.aikido.dev/blog/supply-chain-attack-on-react-native-aria-ecosystem

Report completeness: Low

Industry:
Media

ChatGPT TTPs:
do not use without manual check
T1005, T1105, T1547.001, T1584.005

IOCs:
File: 68
Domain: 1
Url: 4
IP: 2
Path: 1

Soft:
Node.js

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакер, связанный с пакетом rand-user-agent для npm, активизировал атаки, внедряя вредоносный код в широко используемые пакеты. Эта новая полезная нагрузка позволяет динамически выбирать между существующими и неопознанными серверами управления, одновременно собирая системные метаданные для разведки. Вредоносная программа стремится к постоянству, нацеливаясь на определенные каталоги в системах Windows, чтобы закрепиться.
-----

6 июня 2025 года была отмечена заметная эскалация хакерской активности, в которой участвовал хакер, ранее связанный со взломом популярного пакета npm, rand-user-agent. Этот субъект переключил внимание на проникновение в широко используемые пакеты, в совокупности накапливая около миллиона загрузок в неделю. Стратегия атаки становится все более изощренной после более ранних менее масштабных атак на менее популярные пакеты.

Критической причиной недавней атаки стало изменение в одном из важных пакетов, в результате чего в файл был тайно вставлен вредоносный код lib/commonjs/index.js. Конкретное изменение было идентифицировано в строке 46, и оно служит механизмом доставки полезной нагрузки, аналогичной той, которая была обнаружена в компромиссе rand-user-agent, но с ключевыми изменениями. Полезная нагрузка включает переменную, которая позволяет выбирать между ранее известными серверами управления (C2) и новым неопознанным сервером C2. Эта корректировка указывает на усовершенствованную тактику, позволяющую злоумышленникам динамически адаптировать свою инфраструктуру в зависимости от окружающей среды.

Помимо доставки вредоносной полезной нагрузки, код содержит функции для сбора системного контекста и метаданных, таких как тип операционной системы, Node.js версия, путь к скрипту и рабочий каталог. Кроме того, он выполняет внешний запрос для сбора сведений об общедоступных IP-адресах, что потенциально облегчает поиск и контроль.

Дизайн вредоносного ПО подчеркивает его стойкость, поскольку оно намерено оставаться скрытым и работать в скомпрометированных системах. На платформах Windows оно стремится расположиться по пути к каталогу %LOCALAPPDATA%\Programs\Python\Python3127. Наличие любых файлов в этом расположении означает успешную компрометацию, и любое такое заражение потребует немедленной проверки системы, поскольку злоумышленники могут использовать дополнительные полезные ресурсы для дополнительных вредоносных действий.

Постоянный характер этой угрозы свидетельствует о том, что разработчикам и пользователям необходимо проявлять бдительность и защищать свои системы от постоянно меняющейся тактики, применяемой злоумышленниками, которые демонстрируют отличные возможности по компрометации пакетов и внедрению троянских программ удаленного доступа (RATs).

#ParsedReport #CompletenessLow
08-06-2025

The OceanLotus organization is suspected of launching attacks against domestic operating systems and IOT devices

https://paper.seebug.org/3328/

Report completeness: Low

Actors/Campaigns:
Oceanlotus (motivation: information_theft)

Threats:
Nmap_tool

Victims:
Government agencies, Enterprises, Media, Activists, Key domestic units, Personal computers, Iot devices, Servers, Key institutions

Industry:
Iot, Financial, Government

Geo:
Asia

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1048.002, T1059, T1071.001, T1071.002, T1105, T1140, T1190, T1204, have more...

Soft:
Linux

Algorithms:
aes, xor

Platforms:
apple, arm, cross-platform, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
OceanLotus (APT32) нацелен на предприятия Восточной и Юго-Восточной Азии, используя пользовательское вредоносное ПО и инструменты с открытым исходным кодом. Его новый бэкдор "mingwdoor-ARM-2" специально разработан для архитектуры ARM64 и нацелен на устройства Интернета вещей и операционную систему Kylin OS, включая методы разведки с помощью nmap и SSL-связи с помощью Libcurl. История использования уязвимостей брандмауэра и VPN группой подчеркивает эволюцию ее методов проведения атак.
-----

OceanLotus, также известный как APT32, работает с 2012 года и в первую очередь ориентирован на правительственные учреждения и предприятия в Восточной и Юго-Восточной Азии. Недавно группа разработала вредоносное ПО, нацеленное на системы с архитектурой ARM64, отказавшись от своей прежней направленности на бэкдорные трояны для Windows. Новый бэкдор, "mingwdoor-ARM-2", предназначен для работы в таких системах, как встроенные устройства, мобильные устройства и операционная система Kylin. Он использует nmap для разведки и изменяет разрешения на использование памяти с помощью mprotect. Шелл-код этого варианта значительно совпадает с более ранними версиями для архитектуры X86. В отличие от предыдущих версий, которые использовали HTTP-связь на основе сокетов, версия ARM64 использует библиотеку Libcurl для SSL-связи. OceanLotus известна тем, что использует уязвимости брандмауэра, VPN и маршрутизаторов, воздействуя на системы Linux и Windows. В своих атаках они используют нетрадиционные языки программирования и надежные методы обфускации кода, которые препятствуют обратному проектированию и повышают скрытность.

#ParsedReport #CompletenessLow
08-06-2025

PumaBot Linux Botnet Targets IoT Surveillance Devices

https://blog.polyswarm.io/pumabot-linux-botnet-targets-iot-surveillance-devices

Report completeness: Low

Threats:
Pumabot
Xmrig_miner

Industry:
Iot

ChatGPT TTPs:
do not use without manual check
T1016, T1036, T1036.005, T1041, T1059.004, T1078.003, T1082, T1105, T1210, T1496, have more...

IOCs:
File: 1
Domain: 1
Hash: 3

Soft:
linux, Redis, systemd, MySQL

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PumaBot - это ботнет, написанный на платформе Go, нацеленный на устройства Linux IoT, использующий SSH-атаки методом перебора для получения доступа и маскирующийся под службу Redis для обеспечения сохраняемости. Он собирает конфиденциальную информацию и выполняет команды по добыче криптовалюты, используя методы уклонения, чтобы избежать обнаружения, что указывает на целенаправленную и скоординированную кампанию вредоносного ПО.
-----

PumaBot - это вредоносная ботнет-сеть, написанная на Go и специально разработанная для работы с IoT-устройствами на базе Linux. Стратегия заражения начинается с получения списков целей с сервера управления (C2) и использования учетных данных SSH, в первую очередь для устройств с открытыми SSH-портами. После успешного получения доступа PumaBot устанавливается на скомпрометированное устройство, записывая свой двоичный файл в /lib/redis, маскируясь под законную службу Redis. Чтобы обеспечить постоянство, он создает служебные файлы systemd с такими именами, как redis.service или mysqI.service (последнее хитро напоминает MySQL), что позволяет ему выдерживать перезагрузки системы и вписываться в законные процессы.

Ботнет не только компрометирует системы, но и собирает конфиденциальную системную информацию, такую как название операционной системы, версия ядра, архитектура и сведения о подключении, включая IP-адрес, имя пользователя и пароль. Эта информация упаковывается и отправляется обратно на сервер C2 в формате JSON с использованием пользовательского HTTP-заголовка для передачи. Основной функцией PumaBot является выполнение команд для майнинга криптовалюты, таких как "xmrig" и "networkxm". Отсутствие полных спецификаций путей для этих команд означает, что на зараженный хост могут быть загружены или выполнены дополнительные полезные данные, что увеличивает его производительность.

PumaBot также разработан с возможностью обхода механизмов обнаружения; он использует методы снятия отпечатков пальцев для идентификации системной среды и предотвращения "ловушек", в частности, для поиска строки "Pumatronix", связанной с системами видеонаблюдения. Это указывает на целенаправленный подход, при котором либо фокусируются на конкретных устройствах Интернета вещей, либо исключаются из него. Вместо использования методов самораспространения, характерных для вредоносных программ, подобных червям, PumaBot работает как полуавтоматическая ботнет-сеть, обеспечивающая охват за счет выбора цели, ориентированной на C2, в сочетании с атаками методом перебора.

Дальнейший анализ выявил связанные компоненты вредоносного ПО, такие как *ddaemon*, который действует как бэкдор, извлекающий и запускающий компонент интеллектуального анализа данных *networkxm*, а также *installx.sh *, командный скрипт, отвечающий за загрузку дополнительной полезной нагрузки и очистку истории bash, чтобы избежать обнаружения. Эти элементы указывают на скоординированную кампанию с использованием множества инструментов, работающих синергетически, чтобы увеличить охват и долговечность вредоносного ПО. Из-за своих функций и действий PumaBot считается новым видом хакерской деятельности, требующей бдительности со стороны сообществ безопасности.

#ParsedReport #CompletenessLow
08-06-2025

LCRYX Ransomware Utilizes Weak Encryption, Demands $500 Bitcoin Payment

https://www.sonicwall.com/blog/lcryx-ransomware-utilizes-weak-encryption-demands-500-bitcoin-payment

Report completeness: Low

Threats:
Lcrypt

ChatGPT TTPs:
do not use without manual check
T1059.005, T1083, T1486, T1489

IOCs:
Registry: 1
File: 1

Crypto:
bitcoin

Algorithms:
xor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LCRYX - это программа-вымогатель на VBScript, предназначенная для Windows, использующая Caesar cipher и XOR для шифрования и изменяющая имена файлов с помощью ".lcryx". Он отключает антивирусные процессы, потребляет 100% ресурсов процессора при шифровании и требует 500 долларов в биткоинах за расшифровку. Вредоносная программа также шифрует файлы на USB-накопителях, и ее присутствие сохраняется в активных атаках до 2025 года.
-----

LCRYX - это программа-вымогатель на основе VBScript, которая появилась в ноябре 2024 года и с тех пор была повторно идентифицирована с расширенными возможностями в феврале 2025 года. Эта программа-вымогатель специально предназначена для операционных систем Windows и использует методы шифрования Caesar cipher и XOR для шифрования файлов, добавляя расширение ".lcryx" к именам уязвимых файлов. При запуске LCRYX заставляет зараженную систему использовать 100% ресурсов процессора в процессе шифрования, что существенно влияет на производительность системы.

Вредоносная программа стратегически определяет, на какие каталоги нацелиться, в зависимости от версии Windows, на которой она запущена. Кроме того, LCRYX включает функции для отключения определенных системных процессов путем завершения работы любого перечисленного системного администрирования или антивирусного программного обеспечения, которые могут помешать его работе. Он также активно шифрует любые файлы, найденные на подключенных USB-накопителях, что увеличивает его потенциальное воздействие.

После шифрования файлов LCRYX требует выкуп в размере 500 долларов в биткоинах за ключ расшифровки, принуждая жертв к соблюдению требований, чтобы восстановить доступ к своим данным. По состоянию на начало 2025 года LCRYX по-прежнему подвергается различным активным атакам, что свидетельствует о его стойкости в среде хакеров. Компания SonicWall Capture Labs разработала сигнатуру для защиты от этой программы-вымогателя, которая помогает обнаруживать и смягчать ее воздействие на пользователей.