#ParsedReport #CompletenessMedium
20-05-2026

PoisonX WindowsTelemetry: BYOVD-Assisted RAT With a Plugin Loader

https://www.derp.ca/research/poisonx-windowstelemetry-byovd-rat/

Report completeness: Medium

Threats:
Poisonx
Byovd_technique
Rusty_stealer
Ailurophile_stealer
Mranon
Dll_sideloading_technique
Dllsearchorder_hijacking_technique
Winrm_tool
Cridex
Domain_fronting_technique

Geo:
Hong kong

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1007, T1010, T1012, T1027, T1027.007, T1049, T1057, T1059.001, T1059.003, T1068, have more...

IOCs:
File: 8
IP: 2
Path: 1
Command: 1
Hash: 7

Soft:
Windows Defender

Algorithms:
base64, sha256, xor

Win API:
NtQuerySystemInformation, PsSetCreateProcessNotifyRoutine, PsSetCreateThreadNotifyRoutine, PsSetLoadImageNotifyRoutine, TerminateProcess, NtSuspendProcess, NtResumeProcess, EnumWindows, RtlCompressBuffer, getaddrinfo, have more...

Languages:
powershell

Platforms:
x64

Links:
https://github.com/kirkderp/yara/tree/main/poisonx\_windowstelemetry
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Семейство вредоносного ПО PoisonX использует многоэтапную атаку с применением подгрузки DLL и техники BYOVD. Оно начинается с того, что легитимный процесс dashost.exe загружает вредоносный VERSION.dll, который декодирует встроенные строки и изменяет настройки Windows Defender для отключения защиты. Вредоносное ПО использует собственный драйвер для обхода обнаружения и взаимодействует с сервером C2 с использованием собственного протокола, выполняя различные задачи, сохраняя закрепление и скрытность посредством поведенческих модификаций.
-----

Недавно выявленное семейство вредоносного ПО PoisonX связано с двумя архивами WindowsTelemetry, использующими сложную многоэтапную технику атаки, включающую подгрузку DLL и метод BYOVD (Bring Your Own Vulnerable Driver). Ключевыми артефактами этой атаки являются вредоносный файл VERSION.dll, используемый для подгрузки Троянской программы (RAT), а также полезная нагрузка планировщика и конечная точка сервера управления (C2), расположенная по IP-адресу 101.32.190.202:8080.

Атака начинается с легитимного процесса Windows dashost.exe, который заставляет загрузить вредоносный VERSION.dll, размещённый в его каталоге. Этот вредоносный DLL затем использует операции XOR для декодирования встроенных строк, читает зашифрованный файл scheduler.cache и отображает его содержимое в память, эффективно сохраняя скрытность во время выполнения. Кроме того, перед установкой RAT вредоносное ПО изменяет настройки Windows Defender для отключения защиты в реальном времени и создания исключений процессов для каталога его развертывания.

Метод BYOVD, применяемый в данном случае, заключается в записи на диск пользовательского драйвера, который манипулирует обратными вызовами ядра, связанными с уведомлениями о процессах, потоках и образах. Этот драйвер отключает защиту от использования уязвимых драйверов, устанавливая значение реестра `VulnerableDriverBlocklistEnable` равным 0. Затем он нацеливается на удаление обратных вызовов продуктов безопасности путем перезаписи записей обратных вызовов в памяти, тем самым уклоняясь от обнаружения программным обеспечением безопасности.

После завершения предварительных этапов вредоносное ПО загружает декодированный файл cache.db, который имеет структуру 64-битного PE (Portable Executable) файла и выполняет роль основного компонента выполнения RAT. Этот базовый компонент инициирует связь с C2, используя собственный протокол поверх raw TCP. Он выполняет различные операционные задачи, такие как перечисление и управление процессами, контроль служб и сбор информации о системе, все это обеспечивается через встроенный JSON интерфейс.

RAT содержит механизмы для поддержания закрепления и возможности установки SOCKS5-прокси для туннелирования запросов без использования стандартного метода HTTP connect. Важно отметить, что заражение использует различные поведенческие модификации, включая изменения настроек реестра Windows и установку драйвера, которые могут быть выявлены с помощью специфических YARA-правил, нацеленных на вредоносный VERSION.dll, артефакты планировщика и ядро RAT.

Эта масштабная реализация атак демонстрирует эволюцию ландшафта угроз и подчеркивает постоянную необходимость бдительности в защите от таких продвинутых постоянных угроз, как PoisonX.

#ParsedReport #CompletenessLow
20-05-2026

Telegram smishing is back after two years, and account takeovers are on again

https://asec.ahnlab.com/ko/93789/

Report completeness: Low

Threats:
Smishing_technique

Victims:
Telegram users

ChatGPT TTPs:
do not use without manual check
T1078, T1566.002, T1566.003, T1656

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Выявлен всплеск атак смишингом, нацеленных на пользователей Телеграм, при этом злоумышленники применяют фишинговые тактики, эксплуатирующие ложные заявления о проблемах безопасности. Пользователей обманом заставляют вводить свои номера телефонов и коды входа на поддельных страницах авторизации, что позволяет злоумышленникам перехватывать учетные записи и похищать личную информацию и переписки. Фишинговая инфраструктура спроектирована так, чтобы избегать обнаружения путем перенаправления пользователей в зависимости от значения User-Agent их браузера, что дополнительно усложняет усилия по реагированию.
-----

Наблюдается возрождение атак смишингом, нацеленных на пользователей Телеграм, напоминающее тактики, применявшиеся два года назад. Злоумышленники используют методы фишинга, утверждая, что они призваны решить проблемы безопасности в Телеграм, и обманом заставляют пользователей предоставлять свои номера телефонов и коды входа на поддельных сайтах. Такой подход позволяет им перехватывать учетные записи, что ведет к потенциальной краже личной информации и переписки.

Текущая волна смишинг-атак использует сообщения, в которых ложно утверждается о проблемах, связанных с безопасностью, защитой аккаунта или проверкой входа. Когда пользователи переходят по ссылкам в этих сообщениях, они перенаправляются на фишинговый сайт, имитирующий легитимную страницу входа в Телеграм. Эти поддельные сайты тщательно разработаны, что позволяет жертвам легко принять их за подлинные процессы безопасности.

Заметной особенностью этой фишинговой инфраструктуры является её способность к уклонению. Фишинговый сайт анализирует User-Agent посещающего браузера и перенаправляет пользователей на реальные страницы Телеграм, если обнаруживает автоматизированные инструменты или средства защиты, тем самым обходя обнаружение сотрудниками служб безопасности. Когда пользователь вводит свой номер телефона, он получает код входа через приложение Телеграм, после чего ему предлагается ввести этот код на фишинговой странице. При успешном выполнении этого сценария злоумышленники получают доступ к аккаунтам Телеграм жертв.

Следовательно, скомпрометированные аккаунты могут привести к эксфильтрации личных переписок и повышению рисков для контактов, поскольку злоумышленники могут отправлять дальнейшие попытки смишинга на эти сохраненные номера. Учитывая, что Телеграм часто используется как для личных, так и для профессиональных коммуникаций, последствия захвата аккаунтов могут быть масштабными, включая раскрытие конфиденциальной рабочей или финансовой информации.

Для снижения риска пользователям рекомендуется проявлять осторожность при получении сообщений, побуждающих проверить безопасность аккаунта или перейти по ссылкам для верификации. Крайне важно не вводить учетные данные или коды авторизации на незнакомых страницах и включать двухфакторную аутентификацию для аккаунтов в Телеграм. Этот дополнительный уровень безопасности может существенно затруднить способность злоумышленника получить доступ к аккаунту, даже если ему удастся перехватить код входа.

#ParsedReport #CompletenessLow
20-05-2026

GhostTree: Unveiling Path Manipulation Techniques to Bypass Windows Security

https://www.varonis.com/blog/ghosttree-ntfs-trick

Report completeness: Low

Threats:
Ghosttree_technique
Ghostbranch_tool

ChatGPT TTPs:
do not use without manual check
T1564

IOCs:
Path: 18
File: 1

Soft:
Windows Security, Windows Defender, Twitter

Functions:
LinkToFolder

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GhostTree использует NTFS-ссылки и символические ссылки для создания рекурсивных циклов, позволяющих избегать обнаружения средствами безопасности, особенно теми, которые сканируют каталоги на наличие вредоносного содержимого. Создавая ссылки, указывающие обратно на родительский каталог, он может генерировать фактически бесконечные пути к файлам, перегружая решения для обнаружения и реагирования на конечных точках (EDR), такие как Windows Defender, которые попадают в бесконечные циклы. Этот метод опирается на GhostBranch, усложняя обнаружение ВПО, скрытого в каталогах.
-----

Техника, известная как GhostTree, использует NTFS-ссылки и символические ссылки для создания рекурсивных циклов, которые могут оставаться незамеченными средствами защиты, особенно теми, которые сканируют каталоги на наличие вредоносного содержимого. В отличие от обычных функций файловой системы, которые часто остаются без внимания, NTFS-ссылки позволяют любому пользователю с правами записи создавать связь между одним каталогом и другим, не требуя административных привилегий.

GhostTree работает путём создания ссылок-переходов (junctions), указывающих обратно на родительский каталог, что приводит к формированию фактически бесконечных путей к файлам. Эта бесконечная рекурсия может перегрузить средства сканирования, включая продукты обнаружения и реагирования на конечных точках (EDR), заставляя их застревать в бесконечном цикле. Поскольку эти инструменты не могут завершить сканирование, вредоносные файлы, размещённые в исходном каталоге, остаются без проверки.

Структура GhostTree основана на более простом методе под названием GhostBranch, где злоумышленник создает папковые соединения (junctions) с заданными именами и пунктами назначения. GhostTree улучшает этот подход, вводя несколько дочерних папок, что позволяет организовать более сложную структуру непрерывных путей. Эта вариация расширяет диапазон возможных путей, создавая дополнительные трудности для механизмов обнаружения.

Тестирование подтвердило, что известные решения безопасности, такие как Windows Defender, действительно могут быть обойдены с помощью этой техники, поскольку непрерывная генерация путей делает содержащую папку несканируемой. Следовательно, злоумышленники могут эффективно скрывать ВПО в каталогах, которые остаются незамеченными при использовании обычных методов сканирования.

Для защитников техника GhostTree демонстрирует ограничения, связанные с полаганием исключительно на сканирование конечных точек для обеспечения безопасности. Она подчеркивает необходимость более продвинутого мониторинга активности файловой системы на уровне данных. Внедрение надежных инструментов мониторинга, способных обнаруживать аномалии, такие как необычное создание точек соединения (junction) или рекурсивные структуры каталогов, имеет решающее значение для выявления и нейтрализации этих уклончивых тактик.

#ParsedReport #CompletenessHigh
20-05-2026

Inside SHADOW-WATER-063's Banana RAT: From Build Server to Banking Fraud

https://www.trendmicro.com/en_us/research/26/e/banana-rat.html

Report completeness: High

Actors/Campaigns:
Shadow-water-063 (motivation: information_theft, financially_motivated, cyber_espionage)
Fluxroot
Ta2725
Unc5176

Threats:
Banana_rat
Polymorphism_technique
Bancos
Junk_code_technique
Process_injection_technique
Qshing_technique
Typosquatting_technique
Grandoreiro
Mekotio
Metamorfo
Astaroth
Chavecloak
Javali

Victims:
Brazilian financial institutions, Brazilian localized cryptocurrency exchanges, Customers in brazil

Industry:
Financial, Retail, Telco

Geo:
Portuguese, Brasil, Spain, Ita, Brazil, Mexican, Brazilian, Portugal, Chilean

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 13
Domain: 3
Url: 5
Command: 1
IP: 4
Hash: 4

Soft:
WhatsApp, FastAPI, NET Framework, Windows GDI, Task Scheduler

Algorithms:
aes-256, aes-256-cbc, sha256, hmac, aes, xor

Functions:
Add-Type

Win API:
ShowWindow, BitBlt, GetAsyncKeyState, GetForegroundWindow, BlockInput

Win Services:
WebClient

Languages:
delphi, powershell, php, python

#ParsedReport #ExtractedSchema

Classified images:
windows: 13, schema: 2, code: 14

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Banana RAT от SHADOW-WATER-063, банковское ВПО, нацеленное на бразильские финансовые учреждения, использует передовые техники уклонения, включая полезную нагрузку, обернутую алгоритмом AES, и выполнение PowerShell без файлов, для обеспечения мошенничества в реальном времени. Оно использует тактики социальной инженерии для доставки вредоносных полезной нагрузки, что позволяет осуществлять регистрацию нажатий клавиш, потоковую передачу экрана и манипуляцию транзакциями, особенно затрагивая систему Pix Центрального банка Бразилии. Работа ВПО характеризуется полиморфной системой доставки, что усложняет обнаружение и подчеркивает растущую угрозу, исходящую от локализованных киберпреступных сетей.
-----

Banana RAT от SHADOW-WATER-063 — это банковское ВПО, нацеленное на бразильские финансовые учреждения.

ВПО использует сложные техники уклонения для выполнения мошенничества в реальном времени.

Оно использует методы многослойной обфускации, такие как полезная нагрузка, обернутая алгоритмом AES, и выполнение PowerShell без создания файлов.

Banana RAT поддерживает постоянное управление через запланированные задачи и TCP-соединения по порту 443.

Жертв заманивают загрузить вредоносные пакетные файлы через WhatsApp или фишинговые URL-адреса.

Первоначальный пакетный файл запускает команду PowerShell, которая загружает вторую стадию полезной нагрузки, работающую полностью в памяти.

Компонент второго этапа обеспечивает потоковую передачу экрана в реальном времени, регистрацию нажатий клавиш, контроль ввода и перехват QR-кодов, направленный на мошеннические транзакции.

ВПО использует тактики социальной инженерии, маскируясь под легитимные документы, такие как электронные счета-фактуры.

Его PowerShell-клиент поддерживает мониторинг системы в реальном времени, эксфильтрацию файлов и создание поддельных оверлеев легитимных банковских приложений.

ВПО может манипулировать транзакциями через систему Pix Бразильского центрального банка.

Атрибуция указывает на бразильских злоумышленников на основе конвенций кодирования и целевой аудитории жертв.

RAT Banana нацелен исключительно на бразильские учреждения, что указывает на локализованную операционную направленность.

В ней используется полиморфная система доставки полезной нагрузки, которая генерирует уникальные варианты для каждого жертвы, усложняя обнаружение.

Заражённые хосты могут оставаться функциональными, даже если инфраструктура доставки скомпрометирована.

Операция знаменует собой стратегическую эволюцию в киберкриминале, использующую передовые услуги ВПО и представляющую значительные риски для финансового сектора.

#ParsedReport #CompletenessHigh
20-05-2026

Microsoft's MSHTA Legacy Tool Still Powers Malware Campaigns on Windows

https://www.bitdefender.com/en-us/blog/labs/microsofts-mshta-legacy-malware-windows

Report completeness: High

Threats:
Lolbin_technique
Clickfix_technique
Lumma_stealer
Castleloader
Emmenhtal
Amatera_stealer
Countloader
Clipbanker
Purplefox
Seo_poisoning_technique
Amsi_bypass_technique
Procmon_tool
Xworm_rat
Danabot
Lalala_stealer

Victims:
Windows users, Enterprise environments, Cryptocurrency users

Industry:
Financial, Education

ChatGPT TTPs:
do not use without manual check
T1027, T1027.010, T1036.003, T1036.008, T1059.001, T1059.006, T1059.007, T1070.004, T1105, T1140, have more...

IOCs:
File: 25
Domain: 71
Url: 40
Coin: 1
Hash: 7
Command: 2
IP: 30

Soft:
macOS, Claude, Internet Explorer, Microsoft Edge, Discord, Windows Defender

Algorithms:
base64, sha256

Win Services:
WebClient

Languages:
php, javascript, powershell, python

#ParsedReport #ExtractedSchema

Classified images:
code: 5, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют Microsoft HTML Application Host (MSHTA) для содействия кампаниям ВПО из-за встроенного доверия в системах Windows. Техники включают многоэтапное выполнение без файлов с использованием HTA-скриптов и PowerShell, а злоумышленники часто применяют тактики социальной инженерии для распространения приманок. Известное ВПО, связанное с MSHTA, включает LummaStealer, Amatera, PurpleFox и CountLoader, при этом недавние тенденции показывают сдвиг в использовании вредоносных доменов для доставки HTA-вредоносных программ.
-----

Исследование Bitdefender подчеркивает продолжающуюся эксплуатацию Microsoft HTML Application Host (MSHTA) — устаревшего инструмента в системах Windows, который обеспечивает выполнение VBScript и JavaScript как из локальных, так и из удаленных файлов. Несмотря на то, что MSHTA был выведен из эксплуатации в рамках экосистемы Internet Explorer, он остается популярным выбором для злоумышленников из-за встроенного доверия и интеграции в операционную систему. Киберпреступники используют эту утилиту, часто в тактиках living-off-the-land (LOLBIN), для содействия широкому спектру кампаний ВПО, охватывающих от простых крадильщиков паролей до более сложных угроз.

Злоумышленники часто используют многоэтапные последовательности выполнения без файлов, которые задействуют HTA-скрипты и PowerShell вместе с MSHTA. Эти кампании, как правило, включают методы социальной инженерии, такие как поддельные загрузки программного обеспечения или приманки в стиле ClickFix, подчеркивая важность обучения пользователей и применения многоуровневых мер безопасности.

В спектр вредоносного ПО, выявленного в деятельности, связанной с MSHTA, входят такие массовые крадильщики, как LummaStealer и Amatera, а также более продвинутые угрозы, такие как PurpleFox и ClipBanker. Использование MSHTA в качестве вектора выполнения часто является частью более широкой цепочки атаки, при которой оно напрямую загружает и выполняет дополнительные вредоносные компоненты, хранящиеся на внешних серверах. Например, CountLoader представляет собой загрузчик на основе HTA, используемый для каскадного распространения различных ВПО, обычно эксплуатируя подозрительные URL-адреса, замаскированные под легитимные сервисы.

Последние тенденции указывают на смену доменной структуры злоумышленниками, которые переходят от использования доменов верхнего уровня .cc к доменам .vg и .gl для создания вредоносной инфраструктуры. Эти домены, часто выглядящие безобидно, служат механизмами доставки вредоносного контента HTA, который после выполнения извлекает дополнительные вредоносные компоненты, такие как зашифрованные скрипты PowerShell.

Кампания Emmenhtal Loader демонстрирует слаженность использования MSHTA и PowerShell в скоординированных атаках. В данном случае злоумышленники применяют MSHTA для запуска HTA-документа, который активирует вредоносный JavaScript, позволяя ему загружать дополнительные полез нагрузки через PowerShell, одновременно скрывая операции от жертвы. Аналогичным образом ClipBanker использует MSHTA для манипуляции содержимым буфера обмена, стремясь заменить адреса криптовалютных кошельков для эксплуатации.

Кроме того, MSHTA была замечена в операциях, связанных с PurpleFox, устойчивым вариантом вредоносного ПО, который адаптировался с течением времени, часто используя MSHTA для скрытой установки и процессов выполнения команд.

Хотя не каждое использование MSHTA свидетельствует о злонамеренных намерениях — что видно из его легитимных применений, таких как DriverPack, — его роль во множестве успешных атак является значительной. Поэтому организациям рекомендуется внедрять комплексные стратегии безопасности, которые должны включать обучение пользователей потенциальным рискам, надежные механизмы обнаружения аномалий выполнения скриптов, а также непрерывный мониторинг сетевой активности для снижения угроз, связанных с устаревшими утилитами, такими как MSHTA.

#ParsedReport #CompletenessLow
20-05-2026

The World Cup Fraud Infrastructure is Nearly Three Times Larger Than We First Reported

https://flare.io/learn/resources/blog/world-cup-fraud-infrastructure-three-times-larger-than-original-reporting

Report completeness: Low

Threats:
Typosquatting_technique

Victims:
Fifa, World cup fans, Sports, Ticketing, Retail, Streaming, Betting

Geo:
Mexico, Canada, China

ChatGPT TTPs:
do not use without manual check
T1090.002, T1583.001, T1588.002, T1656

IOCs:
Email: 1
IP: 5

Soft:
GoDaddy, Alibaba Cloud, HiChina, Gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование фишинговой инфраструктуры, связанной с Чемпионатом мира по футболу, выявило как минимум 222 мошеннических домена, связанных с четырьмя различными кластерами операторов, что значительно расширяет масштаб угрозы. Эти кластеры занимаются различными мошенническими действиями, включая тайпсквоттинг официального сайта ФИФА, и отражают распределенную сеть киберпреступников, использующих общие наборы для мошенничества. Текущий мониторинг выявляет тенденции, такие как увеличение регистраций доменов и потенциальные миграции в ответ на блокировки, что подчеркивает растущую сложность этого фишингового ландшафта.
-----

Расширенное расследование фишинговой инфраструктуры, связанной с Чемпионатом мира по футболу, выявило значительно более широкую и сложную сеть мошеннических доменов, чем сообщалось ранее. Изначально было выявлено 79 доменов, однако дальнейшие исследования увеличили это число до как минимум 222 доменов, работающих на 203 уникальных IP-адресах, что представляет собой рост количества доменов примерно в 2,8 раза и увеличение хостингового следа более чем в 14 раз. Кампания характеризуется наличием как минимум четырех отдельных кластеров операторов, что указывает на распределенную сеть киберпреступников, а не на одного централизованного злоумышленника.

Анализ показывает, что регистрации продолжают расти, при этом с начала апреля по середину апреля 2026 года было зарегистрировано еще 52 домена, что отражает резкий рост по мере приближения Чемпионата мира по футболу 2026 года. Расширенный набор данных выявляет различные паттерны регистрации, варианты размещения и отпечатки WHOIS среди кластеров, что указывает на независимых операторов, использующих общие мошеннические наборы инструментов. Примечательно, что около 10% набора данных включает идентифицируемую информацию об операторах, которые не применяли скрытие конфиденциальных данных, предоставляя основу для постоянного отслеживания этих субъектов.

Детальный анализ инфраструктуры выявляет конкретные кластеры. Кластер A в основном включает домены, напрямую использующие тайпсквоттинг официального сайта ФИФА (fifa.com), и насчитывает 86 доменов, которые обычно служат посадочными страницами для мошеннических схем продажи билетов на матчи ФИФА. Кластер B состоит из доменов, которые изначально казались предназначенными для универсального дропшиппинга, но теперь связаны с мошенничеством в рамках Чемпионата мира, при этом один из заметных доменов был зарегистрирован еще в 2015 году. Это демонстрирует операционную сложность, включающую повторное использование старых доменов для современных мошеннических схем.

Кластер C включает три домена, зарегистрированных у китайского регистратора, что указывает на то, что актор, базирующийся в Китае, функционирует параллельно с другими кластерами, тогда как кластер D связан с устоявшейся организацией под названием «888 World Cup Management Co Ltd.» Структурное разнообразие между этими кластерами подчеркивает сложность текущей фишинговой среды, где общие шаблоны могут эксплуатироваться несколькими децентрализованными акторами.

Cloudflare выделил определенные домены в этой сети как связанные с фишинговой деятельностью, подчеркивая масштаб проблемы для провайдеров CDN и команд по защите брендов. Постоянный мониторинг указывает на потенциальные тенденции, на которые следует обратить внимание перед турниром, включая дальнейшую регистрацию доменов, синхронизированную с официальными продажами билетов, и потенциальные миграции по мере того, как инфраструктура подвергается отключениям. Индикаторы компрометации, такие как домены и отпечатки операторов в этой обширной мошеннической экосистеме, предоставляются для дальнейшего анализа и мониторинга специалистами по кибербезопасности.

#ParsedReport #CompletenessLow
20-05-2026

WantToCry ransomware remotely encrypts files

https://www.sophos.com/en-us/blog/wanttocry-ransomware-remotely-encrypts-files

Report completeness: Low

Threats:
Wanttocry
Wannacry
Wannacryptor
Qtox_tool
Netsupportmanager_rat
Lockbit
Qilin_ransomware
Blackcat

Victims:
Organizations with internet exposed smb services

Geo:
Russian federation, America, Russia, Singapore, Germany

ChatGPT TTPs:
do not use without manual check
T1021.002, T1078, T1110.001, T1486, T1595.001

IOCs:
Url: 1
IP: 6

Soft:
Telegram

Crypto:
bitcoin