#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
21 августа 2025 года Colt Technology Services столкнулась с несанкционированным доступом к своим внутренним системам из-за Warlock ransomware, связанного с хакерской группировкой Storm-2603. Этот инцидент указывает на более широкую модель "Вымогательство как услуга", когда различные операторы могут совместно использовать инструменты для вымогательства, что усложняет идентификацию угроз. Эволюционирующий характер этих атак подчеркивает сохраняющиеся риски, которые представляют программы-вымогатели для критически важной инфраструктуры.
-----

21 августа 2025 года Colt Technology Services, телекоммуникационный провайдер в Великобритании, сообщил о несанкционированном доступе к своим внутренним системам, подтвердив извлечение некоторых данных после того, как ранее, 12 августа, были отмечены сбои в работе. Этот инцидент подчеркивает угрозу, исходящую от Warlock ransomware, которая связана с хакерской группировкой, известной как Storm-2603. Однако окончательная атрибуция все еще неясна, что указывает на то, что Storm-2603 может работать не исключительно с Warlock, а может быть клиентом в рамках более широкой модели "Программа-вымогатель как услуга" (RaaS).

Действия, приписываемые Warlock, предполагают совместные усилия различных операторов в рамках RaaS, которые совместно используют доступ к различным наборам программ-вымогателей, включая LockBit Black. Это открытие подтверждает предположение о том, что множество преступных организаций могут использовать штамм Warlock, что делает его важным инструментом для оппортунистических киберкампаний. Такая динамика в ландшафте киберугроз усложняет выявление и смягчение угроз, создаваемых такими акторами, как Storm-2603, поскольку их участие в использовании множества программ-вымогателей может затуманить их операционные схемы и методологии.

Ситуация подчеркивает необходимость того, чтобы организации сохраняли бдительность в отношении возникающих угроз со стороны программ-вымогателей и соответствующим образом адаптировали свои стратегии кибербезопасности, учитывая эволюционирующие методы и совместный характер внедрения программ-вымогателей в экосистеме киберпреступников. Инцидент служит напоминанием о постоянном риске, который программа-вымогатель представляет для критически важной инфраструктуры, и о важности надежных механизмов защиты для эффективного противодействия таким угрозам.

#ParsedReport #CompletenessMedium
25-08-2025

The Resurgence of IoT Malware: Inside the Mirai-Based Gayfemboy Botnet Campaign

https://www.fortinet.com/blog/threat-research/iot-malware-gayfemboy-mirai-based-botnet-campaign

Report completeness: Medium

Threats:
Mirai
Gayfemboy
Xmrig_miner
Bashlite
Netstat_tool
Tcpsynflood_technique
Udpflood_technique
Tcpflood_technique
Synflood_technique
Icmpflood_technique

Victims:
Iot device vendors products

Industry:
Iot

Geo:
Chinese, Switzerland, France, Mexico, Germany, Israel, Brazil, Vietnam

ChatGPT TTPs:
do not use without manual check
T1027, T1190

IOCs:
IP: 7
Domain: 5
Hash: 51

Soft:
zyxel, Linux, curl

Algorithms:
base64

Platforms:
arm, intel, mips

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет Gayfemboy, усовершенствованный вариант вредоносного ПО Mirai, нацелен на различные устройства Интернета вещей и сетевое оборудование таких поставщиков, как DrayTek и Cisco, демонстрируя передовые методики атак. Он использует новую технику запутывания, присваивая архитектурам устройств уникальные имена, что усложняет традиционные усилия по обнаружению. Эта эволюция подчеркивает тревожную тенденцию к усложнению вредоносного ПО, требующую улучшения анализа угроз для эффективного устранения возникающих киберрисков.
-----

Возрождающаяся ботнет-кампания Gayfemboy, основанная на хорошо известном вредоносном ПО Mirai, отслеживалась главным образом FortiGuard Labs, поскольку она использует различные уязвимости в устройствах Интернета вещей (IoT). Эта кампания, впервые выявленная китайской фирмой по кибербезопасности, недавно активизировала деятельность, направленную на сетевое оборудование от нескольких поставщиков, в частности DrayTek, TP-Link, Raisecom и Cisco. Ботнет демонстрирует значительную эволюцию в своей тактике и оперативном поведении, что указывает на переход к более изощренным методам атак.

Вредоносное ПО демонстрирует начальный уровень запутывания при выполнении процесса загрузки. В отличие от традиционных вариантов вредоносного ПО Mirai и Gafgyt, которые обычно используют предсказуемые соглашения об именах, основанные на архитектуре Linux, Gayfemboy присваивает уникальные имена для каждой архитектуры устройства. Такая стратегия не только усиливает его маскировку, но и усложняет усилия по обнаружению с помощью традиционных мер безопасности.

Эволюция Gayfemboy демонстрирует тревожную тенденцию в сфере кибербезопасности, где вредоносное ПО становится все более сложным и искусным в обходе протоколов безопасности. Эта тенденция подчеркивает настоятельную необходимость принятия организациями упреждающих мер безопасности, которые включают регулярное исправление программного обеспечения и всесторонний анализ угроз. Поскольку ландшафт угроз продолжает развиваться, эффективные контрмеры потребуют не только стратегий реагирования, но и подхода, основанного на разведданных, для предвидения и снижения рисков, создаваемых возникающими угрозами, такими как Gayfemboy.

#ParsedReport #CompletenessHigh
25-08-2025

APT36: Targets Indian BOSS Linux Systems with Weaponized AutoStart Files

https://www.cyfirma.com/research/apt36-targets-indian-boss-linux-systems-with-weaponized-autostart-files/

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Spear-phishing_technique
Credential_dumping_technique

Victims:
Indian government, Military, Diplomatic institutions, Education sector, Defense contractors, Critical infrastructure

Industry:
Military, Education, Critical_infrastructure, Government

Geo:
Seychelles, Pakistan, Indian

TTPs:
Tactics: 10
Technics: 22

IOCs:
File: 3
Domain: 2
Url: 1
IP: 1
Hash: 5

Soft:
Linux, curl, Firefox, systemd, Unix

Algorithms:
exhibit, md5, sha256

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36, также известная как Transparent Tribe, является пакистанской группой кибершпионажа, нацеленной на индийские правительственные структуры, в частности, использующей уязвимости в системах BOSS Linux. Они используют файлы .desktop, чтобы получить первоначальный доступ, запуская оболочку Bash, которая извлекает измененную полезную нагрузку в шестнадцатеричном коде — 64-разрядный исполняемый файл ELF для постоянной связи с сервером C2. Их тактика также включает в себя Целевой фишинг и заказное вредоносное ПО, расширяя цели до образовательных и оборонных подрядчиков для сбора разведывательных данных в соответствии с военными интересами.
-----

APT36, также известная как Transparent Tribe, является пакистанской группой кибершпионажа, нацеленной на индийские правительственные структуры, с недавним акцентом на использование уязвимостей в системах BOSS Linux. Группа демонстрирует возросшую изощренность в своей тактике, используя оружейные файлы .desktop для облегчения первоначального доступа и поддержания закрепления в целевых средах.

Поток атак начинается со вредоносного ПО .файл рабочего стола, предназначенный для запуска оболочки Bash, которая извлекает полезную нагрузку в шестнадцатеричном коде с сервера, контролируемого злоумышленниками. Полезная нагрузка представляет собой 64-разрядный исполняемый файл ELF, идентифицированный с помощью статического анализа, который обладает характеристиками, указывающими на подделку. Вредоносное ПО содержит жестко закодированные ссылки на сервер управления (C2), обеспечивающий постоянную связь для выполнения команд и эксфильтрации данных.

После запуска вредоносное ПО инициирует службу system-update.service, позволяя ей автоматически запускаться во время сеансов на уровне пользователя, обеспечивая тем самым непрерывный доступ. Это развитие отражает эволюцию стратегии APT36's, в которой особое внимание уделяется возможностям двухплатформенности и постоянному доступу как важнейшим компонентам их операций против индийского правительства, военных объектов и инфраструктуры.

Кампании, связанные с APT36, многогранны и, как правило, используют Целевой фишинг электронных писем и пользовательское вредоносное ПО для проникновения в сети. Они расширили параметры своей мишени, включая подрядчиков в сфере образования и обороны, что еще раз подчеркивает их стратегическую цель по сбору конфиденциальных разведывательных данных, соответствующих военным интересам Пакистана.

Недавнее использование защищенных файлов .desktop иллюстрирует адаптивное использование инструментов APT36's для обхода стандартных мер безопасности, подчеркивая важность бдительности в отношении Целевых фишинг-атак и уязвимостей Linux. Установленные вредоносные домены отражают временный характер инфраструктуры группы, позволяя им быстро развертывать полезные нагрузки при минимальном обнаружении. Таким образом, организации должны оставаться осведомленными об этой тактике и усиливать свои меры защиты от таких целенаправленных угроз.

#ParsedReport #CompletenessMedium
25-08-2025

Like PuTTY in Admins Hands

https://levelblue.com/blogs/security-essentials/like-putty-in-admins-hands

Report completeness: Medium

Threats:
Putty_tool
Kerberoasting_technique
Oyster
Nltest_tool
Rubeus_tool
Impacket_tool
Powersploit_tool
Lolbin_technique
Plink_tool
Typosquatting_technique

Victims:
Organizations using privileged user accounts, It administrators

ChatGPT TTPs:
do not use without manual check
T1036, T1053.005, T1059.001, T1218.011, T1553.002

IOCs:
File: 9
Domain: 13
Hash: 12
IP: 5
Url: 8

Soft:
Active Directory, WordPress, FireFox

Algorithms:
aes, sha256

Functions:
GetUserSPNs

Win API:
DllRegisterServer

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный вариант SSH-инструмента PuTTY распространялся посредством Вредоносной рекламы, что приводило к компрометации, связанной с действиями привилегированных пользователей. Исполняемый файл, замаскированный под законное программное обеспечение, отображал признаки вредоносного поведения, включая механизмы закрепления с помощью запланированной задачи, которая выполняла вредоносный DLL-файл и пыталась выполнить Керберостинг, метод, предназначенный для учетных записей Active Directory для получения паролей учетных записей служб. Оперативный центр безопасности отреагировал, изолировав уязвимую систему и проведя поиск угроз для получения дополнительных компрометаций.
-----

Описанный инцидент связан с киберугрозой, связанной со вредоносным вариантом законного SSH-инструмента PuTTY, который распространялся посредством Вредоносной рекламы. Недавно Центр операций безопасности LevelBlue (SOC) обнаружил несколько компрометаций, связанных с действиями привилегированных пользователей, инициированными этим вредоносным исполняемым файлом. Красные флажки были подняты, когда предупреждение SentinelOne отметило загрузку файла с именем PuTTY.exe , который был подписан NEW VISION MARKETING LLC, организацией, не связанной с законным программным обеспечением.

При дальнейшем расследовании было выявлено несколько признаков вредоносного поведения, включая потенциальные попытки Керберостинга и подозрительные действия PowerShell. Вредоносный исполняемый файл установил закрепление в уязвимой системе, создав запланированную задачу с именем "Средство обновления безопасности". Эта задача запустила вредоносный файл библиотеки динамических ссылок (DLL), twain_96.dll , с трехминутными интервалами в течение rundll32.exe , указывающий на попытку сохранить долгосрочный доступ к системе.

В ходе анализа особое внимание было уделено Керберостингу. Этот метод нацелен на учетные записи службы Active Directory с использованием протокола аутентификации Kerberos. Это позволяет злоумышленнику с действительной учетной записью пользователя домена запрашивать заявки на обслуживание Kerberos для учетных записей с определенным именем участника службы (SPN). Полученные служебные билеты шифруются с использованием ключа, полученного из пароля учетной записи службы, что позволяет потенциальным злоумышленникам восстановить пароль с помощью автономных атак, как только они получат доступ к билетам.

В ответ на инцидент команда SOC предприняла быстрые действия, отключив скомпрометированный ресурс от сети и посоветовав клиенту отключить соответствующую учетную запись пользователя. Исследователи угроз из LevelBlue расширили свои усилия по реагированию, проведя поиск угроз по всему клиентскому парку, чтобы выявить любые другие признаки компрометации, связанные с этой троянской версией PuTTY. Этот инцидент подчеркивает острую необходимость проявлять бдительность в отношении целостности программного обеспечения и потенциальных рисков, связанных со злоупотреблением привилегиями в организациях.

#ParsedReport #CompletenessLow
26-08-2025

DNS Tunneling: The Blind Spot in Your Network Security Strategy

https://www.netskope.com/blog/dns-tunneling-the-blind-spot-in-your-network-security-strategy

Report completeness: Low

Actors/Campaigns:
Emissary_panda

Threats:
Dns_tunneling_technique
Dnspot_tool
Dnscat2_tool

Victims:
Organizations using dns, Enterprises

ChatGPT TTPs:
do not use without manual check
T1041, T1071.004

IOCs:
File: 5
Path: 3

Soft:
sudo, Docker

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DNS tunneling - это серьезная киберугроза, которая позволяет злоумышленникам акторам маскировать незаконные действия в рамках законного трафика DNS, что часто приводит к эксфильтрации данных и операциям управления (C2). Такие инструменты, как Iodine и dnspot, используются для туннелирования данных через DNS-запросы, облегчая скрытую связь даже в условиях ограниченного доступа. Dnscat2 является примером передовых методов установления структурированных каналов C2 через DNS, что оказывается сложной задачей для обнаружения и смягчения обычных средств защиты.
-----

DNS tunneling стал важным вектором угроз из-за его способности маскировать вредоносную активность в рамках законных протоколов DNS. Традиционно система доменных имен (DNS) используется для преобразования доменных имен в IP-адреса, но ее повсеместное присутствие в сетевом трафике часто приводит к злоупотреблениям со стороны киберпреступников для эксфильтрации данных и операций управления (C2). Злоумышленники используют разрешительный характер DNS-трафика, который часто пропускается через брандмауэры, что позволяет им скрытно передавать незаконные данные.

Такие инструменты, как Iodine и dnspot, показывают, как DNS можно использовать в качестве оружия. Iodine облегчает туннелирование данных IPv4 через DNS-запросы, обеспечивая связь в средах, где прямой доступ в Интернет ограничен. Dnspot функционирует аналогично, обеспечивая скрытую передачу данных и управление связью C2 через DNS-запросы и ответы. Используя такие методы, злоумышленники-акторы могут отфильтровывать информацию и поддерживать присутствие в скомпрометированных сетях, не вызывая подозрений. Примечательно, что dnscat2 является примером более сложного инструмента, позволяющего использовать структурированные каналы C2 через DNS-трафик, таким образом обходя стандартную защиту брандмауэра, которая обычно разрешает обмен DNS.

Меры безопасности против DNS tunneling должны включать не только обнаружение, но и проактивное управление DNS-трафиком. Угроза DNS tunneling усугубляется его скрытностью, поскольку он использует протокол, признанный безвредным. Эффективные стратегии защиты включают строгий контроль за использованием DNS, мониторинг аномальных шаблонов запросов и внедрение систем обнаружения, предназначенных для выявления поведения при DNS tunneling, о чем свидетельствуют конфигурации обнаружения угроз, подобные тем, которые доступны в Netskope.

Подводя итог, можно сказать, что для снижения рисков, связанных с атаками на основе DNS, организации должны применять комплексный подход, который включает в себя как технологию, так и политику, расширяя возможности мониторинга и реагирования на этот все чаще используемый вектор атак. Осведомленность о потенциале DNS tunneling's и инструментах, которые его облегчают, жизненно важна для разработки эффективных стратегий безопасности в условиях, когда традиционные средства защиты могут оказаться неэффективными.

#ParsedReport #CompletenessHigh
25-08-2025

Deception in Depth: PRC-Nexus Espionage Campaign Hijacks Web Traffic to Target Diplomats

https://cloud.google.com/blog/topics/threat-intelligence/prc-nexus-espionage-targets-diplomats/

Report completeness: High

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)

Threats:
Staticplugin
Plugx_rat
Aitm_technique
Canonstager

Victims:
Diplomats, Government

Industry:
Government

Geo:
Asia, China

ChatGPT TTPs:
do not use without manual check
T1027, T1059.003, T1071.001, T1082, T1106, T1140, T1189, T1204.002, T1218, T1553.002, have more...

IOCs:
File: 9
Url: 4
IP: 2
Domain: 1
Registry: 1
Path: 2
Hash: 8

Soft:
Gmail, Chrome, openssl, Windows security

Algorithms:
base64, md5, sha256, rc4

Functions:
myFunction, GetCurrentDirectoryW

Win API:
EnumSystemGeoID, ExitProcess, ShowWindow, GetMessageW, TranslateMessage, DispatchMessage

Languages:
javascript

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, windows: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2025 года злоумышленник PRC-nexus UNC6384 провел изощренную шпионскую кампанию, нацеленную на дипломатов и глобальные организации, используя вредоносное ПО, замаскированное под обновление плагина Adobe, доставляемое с помощью перехвата портала. Вредоносное ПО выполняет многоэтапную цепочку развертывания, используя загруженную на стороне CANONSTAGER библиотеку DLL, которая развертывает бэкдор SOGU.SEC, который работает скрытно, используя методы запутывания и используя законные функции Windows. Бэкдор SOGU.SEC предлагает широкие возможности, включая сбор системной информации и удаленные операции с командной оболочкой, и взаимодействует с сервером C2 по протоколу HTTPS.
-----

В марте 2025 года была раскрыта изощренная шпионская кампания, приписываемая злоумышленнику UNC6384, связанному с КНР, нацеленная на дипломатов в Юго-Восточной Азии и других глобальных организациях. Считается, что эта кампания направлена на поддержку стратегических интересов Китайской Народной Республики в области кибершпионажа. В анализе подробно описываются методы, используемые злоумышленником, в частности методы доставки вредоносного ПО и операционные возможности.

Основной метод, использованный UNC6384, включал в себя скрытый взлом портала для предоставления доступа к вредоносному ПО, замаскированному под обновление плагина Adobe. Закрытый портал обычно перенаправляет пользователей, намеревающихся получить доступ к сети, на определенную веб-страницу для аутентификации или получения информации. Использование этого метода позволило злоумышленникам использовать встроенную функциональность веб-браузеров, применяя тактику социальной инженерии. Они хитро убедили целевых пользователей в необходимости законного обновления программного обеспечения, что привело к загрузке вредоносной полезной нагрузки.

Как только вредоносное ПО запускается в системе Windows, оно запускает сложную многоэтапную цепочку развертывания, предназначенную для того, чтобы избежать обнаружения и сохранить скрытность. Центральное место в этом процессе занимает CANONSTAGER, новая библиотека DLL с боковой загрузкой, которая в конечном итоге обеспечивает Backdoor. CANONSTAGER использует методы запутывания потока управления наряду с законными функциями Windows, такими как очереди сообщений и функции обратного вызова, для незаметного выполнения зашифрованной полезной нагрузки.

Вариант бэкдора SOGU.SEC особенно примечателен своей запутанностью и широкими возможностями, включая сбор системной информации, функции загрузки файлов, а также возможность управлять удаленной командной оболочкой. Во время этой операции СОГУ.Было замечено, что SEC напрямую взаимодействует с сервером командования и контроля (C2), используя HTTPS по IP-адресу "166.88.2.90.".

Отнесение этой кампании к UNC6384 проистекает из наблюдаемого сходства в их тактике, методах и процедурах (TTP), включая значительное совпадение с TEMP.Hex group (также известная как Mustang Panda), что подтверждает их ориентацию на государственный сектор. Обе группы используют схожие инфраструктуры C2 и распространяют вредоносное ПО SOGU.SEC с помощью методов DLL side-loading, подчеркивая более широкую тенденцию использования передовых тактик угроз среди акторов PRC-nexus.

Кампания подчеркивает наблюдаемую эволюцию методов UNC6384, которые включают в себя интеграцию передовых стратегий man-in-the-middle (AitM), валидного Подписей исполняемого кода и сложных методологий социальной инженерии. Эти события иллюстрируют растущую изощренность и скрытность, применяемые злоумышленниками, связанными с PRC-nexus, поскольку они расширяют свои возможности по предотвращению обнаружения при продвижении деятельности по кибершпионажу.

#ParsedReport #CompletenessMedium
25-08-2025

Underground ransomware distributed to the world, including Korea

https://asec.ahnlab.com/ko/89786/

Report completeness: Medium

Threats:
Underground_ransomware
Underground_team_ransomware
Shadow_copies_delete_technique
Vssadmin_tool
Ransomware/win.grounde.c5771977
Ransomware/win.x64.c5768642
Ransom/mdp.behavior.m2813
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1946

Victims:
Multiple countries, Multiple industries, Korea

Geo:
France, Slovakia, Korea, Germany, Singapore, United arab emirates, Canada, Spain, Australia, Taiwan, Arab emirates

ChatGPT TTPs:
do not use without manual check
T1112, T1486, T1489, T1490, T1657

IOCs:
Command: 1
Registry: 1
File: 4
Hash: 2

Algorithms:
aes, cbc, md5, bcrypt

Win API:
GetenvironmentVariablew, GetsystemTime, BCRYPTEnCrypt, readFile, BCRYPTGENERATESYMMETRICKEY, GetFileSizeEX

Win Services:
MSSQLSERVER, SQLSERVERAGENT, MSSQLFDLauncher

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Банды Underground ransomware все чаще нацеливаются на различные отрасли промышленности, с июля 2023 года наблюдается новый вариант программы-вымогателя, который использует выделенные сайты утечек (DLS) для угрозы утечки данных. Эта программа-вымогатель использует уникальный идентификатор мьютекса для управления выполнением и не реализует распространенные методы уклонения, такие как анти-отладка, вместо этого фокусируясь на шифровании файлов. Основные методы атаки включают использование команды VSSADMIN для удаления shadow copies и изменение параметров реестра для предотвращения подключений к удаленному рабочему столу, тем самым ограничивая возможности восстановления для жертв.
-----

Банды Underground ransomware все чаще нацеливаются на различные страны и отрасли промышленности, включая Корею. Программа-вымогатель, связанная с этой группой, впервые появилась в начале июля 2023 года, но повышенная активность с использованием нового компонента, известного как выделенные сайты утечки (DLS), наблюдалась в мае 2024 года. Эта программа-вымогатель действует аналогично другим бандам, в первую очередь путем шифрования файлов в зараженных системах и извлечения конфиденциальных данных из организаций-жертв, утечка которых грозит в случае невыполнения требований о выкупе.

Вредоносное ПО использует уникальный идентификатор мьютекса "8dC1F7B9D2F4EA58", который предварительно вставляется злоумышленниками для управления выполнением. Примечательно, что эта программа-вымогатель не использует в своих подпрограммах такие распространенные методы, как анти-отладка или защита от "песочницы", что предполагает более простую операционную модель, ориентированную на выполнение своей основной функции — выкуп данных жертвы. Критическим шагом в процессе атаки является удаление всех shadow copies с помощью команды VSSADMIN, которая эффективно предотвращает восстановление жертвами своих зашифрованных файлов. Кроме того, программа-вымогатель изменяет параметры реестра, чтобы ограничить подключения к удаленному рабочему столу, и останавливает службы, которые могут помешать шифрованию файлов базы данных.

Эти действия подчеркивают тактику, применяемую этой группой программ-вымогателей, подчеркивая целенаправленную стратегию, направленную на максимальное воздействие на жертв, лишая их доступа к их собственным критически важным данным и препятствуя возможностям восстановления. Эволюция underground ransomware не только подчеркивает его закрепление, но и необходимость для организаций усилить свою защиту от подобных атак.