#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Кампания Silent Skimmer - это финансово мотивированная атака, направленная на уязвимые предприятия, осуществляющие онлайн-платежи в Азиатско-Тихоокеанском регионе и Северной Америке, использующая различные инструменты с открытым кодом и уязвимости веб-серверов для кражи финансовых данных. Мотивы и геолокация злоумышленников остаются неизвестными, однако они все смелее атакуют более крупные и разнообразные организации и, скорее всего, продолжат расширять сферу своего влияния в будущем.
-----

Компания BlackBerry обнаружила финансово мотивированного участника угроз, получившего название "Silent Skimmer" и нацеленного на уязвимые предприятия, занимающиеся онлайн-платежами в Азиатско-Тихоокеанском регионе (APAC) и Северной Америке (NALA).

Вектор атаки заключается в использовании уязвимостей в веб-приложениях, размещенных на Internet Information Services (IIS), с основной целью компрометации страницы оформления платежа.

Злоумышленники используют инструменты с открытым исходным кодом: бинарные файлы и скрипты Living Off the Land Binaries and Scripts (LOLBAS), BadPotato, GodPotato, SharpToken, Juicy Potato и маячки Cobalt Strike.

Злоумышленник использует легитимное программное средство Telerik UI для эксплуатации CVE-2019-18935, что может привести к удаленному выполнению кода (RCE).

Эксфильтрация осуществляется через Cloudflare с использованием функции fast flux.

Жертвы этой кампании были выявлены в различных отраслях и регионах, причем традиционно она была направлена на регион АТР, а с октября 2022 года - на Канаду и США.

Угрожающий субъект или группа, стоящая за этой кампанией, остается неизвестной, однако, скорее всего, она владеет китайским языком и живет или действует в Азии.

Техническая сложность работы кампании Silent Skimmer намекает на то, что это может быть продвинутый или опытный актер.

В будущем следует ожидать новых атак на аналогичные системы в тех же и новых регионах.

#ParsedReport #CompletenessMedium
20-09-2023

Cado Security Labs Researchers Witness a 600X Increase in P2Pinfect Traffic

https://www.cadosecurity.com/cado-security-labs-researchers-witness-a-600x-increase-in-p2pinfect-traffic

Report completeness: Medium

Threats:
P2pinfect
Abcbot_botnet
Log4shell_vuln

Industry:
Healthcare

Geo:
Singapore, Japan, Germany, Asia, China, Pacific, American

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1492, T1059, T1018, T1098

IOCs:
IP: 3
Hash: 3

Soft:
redis, unix, macos

Links:
https://github.com/cado-security

#ParsedReport #ExtractedSchema

Classified images:
chart: 3, code: 4, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи Cado Security Labs отмечают быстрый рост и изменения в ботнете P2Pinfect с момента его обнаружения в июле 2023 года. Есть предположение, что создатели ботнета намерены либо внедрить дополнительный функционал в полезную нагрузку майнера, либо продать доступ к ботнету. Исследователи Cado продолжат наблюдение за ботнетом.
-----

С июля 2023 года исследователи Cado Security Labs отмечают стремительный рост распространения P2Pinfect - нового однорангового ботнета, нацеленного на серверы, содержащие общедоступные экземпляры Redis. Вредоносная программа включает механизм самообновления, позволяющий быстро выводить обновления на серверы, поэтому исследователи Cado смогли проанализировать четыре различных варианта полезной нагрузки.

Исследователи Cado идентифицировали 219 уникальных узлов, входящих в состав ботнета P2Pinfect, при этом 59,8% IP-адресов находились в Китае, 15% - в США и 5% - в Германии. 35,3% IP-адресов принадлежали ханчжоускому отделению Alibaba, 14,4% - шэньцзенскому отделению Tencent, а 11,2% - пользователям Amazon AWS.

На одном из сенсоров honeypot, предназначенном для мониторинга P2Pinfect, исследователи Cado наблюдали 4064 события, начиная с 24 августа 2023 года. За неделю до публикации этого блога активность P2Pinfect возросла на 12,3%. Кроме того, исследователи отмечают рост активности на 60216,7% с момента обнаружения вредоносной программы.

Последние образцы P2Pinfect были обновлены для регистрации персистентности с помощью более традиционного метода cron-задания в дополнение к оригинальному методу s bash_logout. Вторичная полезная нагрузка также отвечает за поддержание жизни основной полезной нагрузки и пытается изменить пароли пользователей на строку с префиксом Pa_.

Предполагается, что те, кто стоит за ботнетом, либо ждут реализации дополнительной функциональности в полезной нагрузке майнера, либо намерены продать доступ к ботнету другим лицам или группам. Учитывая текущий размер ботнета, его географическую распространенность, способность к самообновлению и быстрый рост, для большинства угроз он может рассматриваться как выгодный актив. Исследователи Cado Security Labs продолжат наблюдение за ботнетом и получат образцы агента для дальнейшего анализа.

#ParsedReport #CompletenessLow
20-09-2023

Compromised Free Download Manager website was delivering malware for years

https://www.malwarebytes.com/blog/news/2023/09/compromised-free-download-manager-website-was-delivering-malware-for-years

Report completeness: Low

Geo:
Ukrainian

IOCs:
Hash: 4
IP: 1

Soft:
macos, android, debian, unix, ubuntu

Algorithms:
sha256

#ParsedReport #CompletenessLow
20-09-2023

Coinminer distribution process of a compromised system (EDR detection)

https://asec.ahnlab.com/ko/57145

Report completeness: Low

Threats:
Process_hollowing_technique
Xmrig_miner

IOCs:
File: 3
Hash: 2
Url: 4

Algorithms:
des, base64

#ParsedReport #ExtractedSchema

Classified images:
schema: 14, code: 4

#ParsedReport #CompletenessMedium
20-09-2023

#StopRansomware: Snatch Ransomware

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-263a

Report completeness: Medium

Actors/Campaigns:
Team_truniger

Threats:
Snatch_ransomware
Snatch_actor
Gandcrab
Nokoyawa
Conti
Cobalt_strike
Metasploit_tool

Victims:
Defense industrial base, food and agriculture, and information technology sectors

Industry:
Foodtech, Financial, E-commerce

Geo:
Russian

TTPs:
Tactics: 3
Technics: 20

IOCs:
File: 18
Domain: 11
Hash: 18
Path: 3
Command: 2
Registry: 4

Soft:
bcdedit, windows defender firewall, windows registry, remote desktop services

Crypto:
bitcoin

Algorithms:
sha256, sha1

Platforms:
x86

Links:
https://github.com/cisagov/cset/releases/tag/v10.3.0.0
https://github.com/cisagov/Decider/

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: ФБР и CISA выпускают совместный совет по кибербезопасности, посвященный разновидности вымогательского ПО Snatch, представляющей значительную угрозу для организаций и частных лиц. Они призывают организации выполнять рекомендации, приведенные в разделе "Меры защиты", и воздерживаться от выплаты выкупа, а жертвам атак вымогателей - сообщать об инцидентах в ФБР и CISA.
-----

ФБР и CISA выпустили совместный совет по кибербезопасности, касающийся разновидности программы-вымогателя Snatch. Snatch представляет собой модель ransomware-as-a-service (RaaS), направленную на критически важные отрасли инфраструктуры, включая оборонно-промышленную базу, пищевую промышленность и сельское хозяйство, а также информационные технологии. Угрозы Snatch осуществляют операции с вымогательством данных и двойным вымогательством.

Для получения доступа к сети жертвы и поддержания ее работоспособности в ней угрозы Snatch используют несколько различных методов. Эти методы включают в себя использование слабых мест в протоколе Remote Desktop Protocol (RDP), компрометацию учетных записей администраторов, покупку ранее похищенных данных из других вариантов ransomware, использование пакетных файлов (.bat) при выполнении ransomware и обнаружении данных, а также использование VPN-сервисов для подключения к сети жертвы. По имеющимся данным, перед развертыванием вымогательского ПО Snatch проводит в системе жертвы до трех месяцев.

Угрожающие Snatch лица общаются с жертвами по электронной почте и через коммуникационную платформу Tox. Некоторые жертвы сообщают, что им поступает ложный звонок от неизвестной женщины, утверждающей, что она связана с Snatch, и направляющей их на сайт группы, где они занимаются вымогательством. Угрожающие Snatch могут также собирать информацию о сетях жертв, которая может быть использована при таргетинге, и арендовать виртуальные частные серверы (VPS).

Организациям рекомендуется посетить сайт stopransomware.gov, где можно ознакомиться со всеми рекомендациями #StopRansomware, а также узнать о других угрозах ransomware и бесплатных ресурсах. ФБР и CISA рекомендуют организациям выполнять рекомендации, приведенные в разделе "Меры защиты" данного CSA, для снижения вероятности и последствий инцидентов с ransomware. Они настоятельно не рекомендуют выплачивать выкуп, поскольку его выплата не гарантирует восстановления файлов жертвы. Независимо от того, выплачивается ли выкуп, жертвам настоятельно рекомендуется незамедлительно сообщать об инцидентах с вымогательством в Центр жалоб на преступления в Интернете (IC3) ФБР по адресу ic3.gov, в местное полевое отделение ФБР или в CISA по телефону (888) 282-0870.

ФБР просит предоставить любую информацию, например пограничные журналы, показывающие связь с IP-адресами, образец записки с требованием выкупа, переписку с участниками атаки Snatch, информацию о кошельке Bitcoin, файлы-дешифраторы и/или образец зашифрованного файла. Такая информация может помочь в дальнейшем выявлении, пресечении и судебном преследовании киберпреступников, участвующих в атаках с использованием программ-вымогателей.

Программа-вымогатель Snatch представляет собой серьезную угрозу как для организаций, так и для частных лиц, поэтому ФБР и CISA совместно работают над повышением осведомленности об этой угрозе и предоставляют рекомендации и ресурсы для защиты от нее. Организациям следует ознакомиться с разделом "Меры защиты" данного CSA, чтобы убедиться в том, что они предпринимают соответствующие шаги для защиты своих сетей. Кроме того, жертвы атак с использованием программ-вымогателей должны сообщать об инцидентах в ФБР и CISA, чтобы были приняты соответствующие меры по выявлению, пресечению и преследованию киберпреступников.

#ParsedReport #CompletenessLow
20-09-2023

Attacker Unleashes Stealthy Crypto Mining via Malicious Python Package

https://checkmarx.com/blog/attacker-unleashes-stealthy-crypto-mining-via-malicious-python-package

Report completeness: Low

Threats:
Upx_tool

IOCs:
Email: 1

Soft:
curl

Algorithms:
base64

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что компания Checkmarx обнаружила вредоносный Python-пакет Culturestreak, который перехватывает системные ресурсы для несанкционированного майнинга криптовалюты.
-----

Недавно компания Checkmarx обнаружила вредоносный Python-пакет Culturestreak, который перехватывает системные ресурсы для несанкционированного майнинга криптовалюты. Для обхода обнаружения вредоносный код использует обфусцированный код и случайные имена файлов, а также запускается в бесконечном цикле для постоянной эксплуатации системных ресурсов. Вредоносный код происходит из активного репозитория GitLab, представляя серьезную опасность для пользователей. При ближайшем рассмотрении было обнаружено, что код устанавливает в переменную FILE случайное целое число в диапазоне от 1 до 999999, которое служит именем загружаемого вредоносного двоичного файла. Затем было обнаружено, что двоичный файл упакован с помощью упаковщика исполняемых файлов UPX, а при его распаковке был обнаружен двоичный файл gcc, идентифицированный как "astrominer 1.9.2 R4", известный инструмент, оптимизированный для добычи криптовалюты DERO. Этот инструмент связан с GitLab-аккаунтом Aldri Terakhir (@aldriterakhir, User ID: 12350673), который на момент написания статьи все еще активен.

#ParsedReport #CompletenessHigh
20-09-2023

Behind the Scenes of BBTok: Analyzing a Banker s Server Side Components

https://research.checkpoint.com/2023/behind-the-scenes-of-bbtok-analyzing-a-bankers-server-side-components

Report completeness: High

Threats:
Bbtok
Lolbin_technique
Follina_vuln
Uac_bypass_technique
Trojan.win.xlladdings.a
Trojan.win.generic.aq
Trojan.win.generic.ar

Victims:
Hundreds of users in brazil and mexico

Industry:
Government, Financial

Geo:
Portuguese, Brasil, Brazil, Mexico, American, Brazilian, Spanish, Mexican, Ita, America

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 15
IP: 4
Domain: 4
Path: 3
Registry: 4
Url: 2
Hash: 18

Soft:
microsoft edge, google chrome

Wallets:
electrum, harmony_wallet

Crypto:
bitcoin, binance

Algorithms:
zip

Functions:
Add-PoshObfuscation, ByFD, CreateDoc, CreateJS, CreateBat

Languages:
php, javascript, delphi

Links:
https://github.com/moohax/xllpoc

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 1, windows: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Check Point Research недавно обнаружила новый вариант вредоносного банковского ПО BBTok banker, который активно распространялся в Латинской Америке. Исследователи безопасности должны постоянно развиваться и совершенствовать свои методы, чтобы защититься от будущих атак.
-----

Недавно компания Check Point Research обнаружила новый вариант вредоносного банковского ПО BBTok banker, который активно распространялся в Латинской Америке. Угрожающие лица, вероятно, из Бразилии, использовали комбинацию бинарных файлов Living off the Land Binaries (LOLBins) и многоуровневого геоограждения, чтобы убедиться, что зараженные машины находятся только в Мексике и Бразилии. С момента последнего публичного сообщения о бандере BBTok в 2020 году операторы приняли новую тактику и процедуры, добавив дополнительные слои обфускации и загрузчики, что привело к низкой частоте обнаружения.

BBTok способен копировать интерфейсы более чем 40 мексиканских и бразильских банков и обманным путем заставлять жертв вводить код 2FA или номер платежной карты. Кроме того, он позволяет выполнять удаленные команды и классические банковские троянские функции, а также устанавливать вредоносные расширения для браузеров или внедрять DLL с именем rpp.dll. Кроме того, он ищет на зараженной машине информацию о биткойнах.

Для управления своей кампанией операторы BBTok создали уникальный поток, который запускается при нажатии жертвой на вредоносную ссылку, присланную в фишинговом письме. После перехода по вредоносной ссылке на компьютеры жертв загружается ISO- или ZIP-файл. В них содержится LNK-файл, который запускает цепочку заражения, приводящую к развертыванию баннера при открытии ложного документа.

Анализ серверного кода полезной нагрузки показал, что злоумышленники активно поддерживают диверсифицированные цепочки заражения для различных версий Windows. В этих цепочках используется широкий спектр типов файлов, включая ISO, ZIP, LNK, DOCX, JS и XLL. В некоторых из этих файлов обнаружена эксплуатация CVE Follina (2022-30190).

В кодовой базе PHP содержится множество комментариев на испанском и португальском языках, которые дают подсказку о происхождении злоумышленника. Он проверяет геолокацию жертвы, перешедшей по ссылке, по ip-api.com и сохраняет ее в файле. Если жертва не из целевой страны (например, Мексики или Бразилии), то HTTP-соединение немедленно завершается сообщением 404.

Скрипт-генератор вызывается файлом descarga.php , используя функцию DownloadFile с аргументами file_name, ver и cc. Они соответствуют имени сгенерированного архива, версии ОС жертвы и коду страны жертвы. Архив содержит LNK. Конечная полезная нагрузка представляет собой новую версию банкира BBTok.

Наш анализ серверного компонента также проливает свет на одну из последних кампаний со стороны угрожающих субъектов, основываясь на найденной базе данных, документирующей доступ к вредоносному приложению. База данных имеет имя links.sqlite и является довольно простой. Она содержит более 150 записей, причем все они уникальны, а заголовки таблиц соответствуют заголовкам, созданным в db.php. Это указывает на то, что участники угрозы, скорее всего, являются бразильцами.

Несмотря на то, что благодаря своим неуловимым методам BBTok удалось остаться незамеченным, он по-прежнему активно применяется и представляет опасность для организаций и частных лиц в регионе. Исследователи безопасности должны постоянно развиваться и совершенствовать свои методы, а также следить за новыми тенденциями в области безопасности и пробовать новые идеи и возможности, чтобы не отставать и защититься от будущих атак.

#ParsedReport #CompletenessMedium
20-09-2023

Chinese Malware Appears in Earnest Across Cybercrime Threat Landscape

https://www.proofpoint.com/us/blog/threat-insight/chinese-malware-appears-earnest-across-cybercrime-threat-landscape

Report completeness: Medium

Threats:
Valleyrat
Sainbox_rat
Gh0st_rat
Fatalrat
Purplefox
Beacon

Victims:
Global organisations with operations in china, japanese organisations

Industry:
Financial

Geo:
Japanese, Chinese, China, Japan

IOCs:
File: 5
Domain: 3
Url: 7
Hash: 4
Email: 7
Path: 1

Soft:
outlook, easyconnect

Algorithms:
zip, sha256

Languages:
rust, python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В последнее время растет число киберпреступлений, направленных против носителей китайского языка, причем способы доставки включают URL-адреса, ссылающиеся на сжатые исполняемые файлы и маскирующиеся под инсталляторы легитимных приложений. Угрожающие организации зарегистрировали домены с именем "fakaka9.top", связанные с Sainbox RAT, а ValleyRAT распространяется через URL-адреса, ведущие на исполняемый файл в формате zip. Организациям необходимо сохранять бдительность в отношении этих угроз для защиты от старых вредоносных программ.
-----

В последние годы растет число киберпреступлений, направленных на лиц, говорящих на китайском языке. В 2023 году компания Proofpoint отметила рост активности отдельных семейств вредоносных программ, ориентированных на эту группу населения. К ним относятся китайскоязычные заманухи и такие вредоносные программы, как Sainbox RAT (вариант Gh0stRAT), ValleyRAT и Purple Fox. Как правило, эти кампании рассылаются глобальным организациям, работающим в Китае, Японии и других странах. Способы доставки включают URL-адреса, ссылающиеся на сжатые исполняемые файлы, вложения Excel и PDF, а также маскировку под инсталляторы легитимных приложений.

Большинство кампаний малочисленны и используют китайскую или японскую тематику рассылок. Угрожающие лица часто регистрируют домены с именем "fakaka9.top", которое ассоциируется с Sainbox RAT. ValleyRAT, о котором впервые сообщила китайская компания Qi An Xin в начале этого года, также доставляется по URL-адресам, ведущим на исполняемый файл в формате zip или загрузчик на языке Rust.

ValleyRAT выполняет различные проверки, чтобы определить, выполняется ли полезная нагрузка в виртуальной среде. Он генерирует MD5-дайджест из следующих значений: OS Info, Kernel Version, CPU Name, Architecture, IsAdmin, Hardware Profile GUID для использования в качестве системного идентификатора (SystemID). Затем он использует сырые сокеты с пользовательским протоколом для связи с C2 и отправки системной информации, оформленной в виде следующей структуры. В настоящее время в нем реализованы следующие команды:.

По мнению Proofpoint, эта активность не связана с одним субъектом, а скорее представляет собой кластер действий, основанных на временных закономерностях. Несмотря на то что Sainbox RAT не является ни новым, ни передовым, он по-прежнему представляет угрозу в 2023 году, и организации не могут позволить себе недооценивать риски, связанные со старым вредоносным ПО. Появление и рост числа вредоносных программ китайской тематики - это новая тенденция в общем ландшафте угроз 2023 года, и организациям важно сохранять бдительность в отношении этих угроз.

#ParsedReport #CompletenessMedium
20-09-2023

Indian Taxpayers face a Multifaceted Threat with Drinik Malware s Return

https://cyble.com/blog/indian-taxpayers-face-a-multifaceted-threat-with-drinik-malwares-return

Report completeness: Medium

Threats:
Drinik
Sms_stealer

Victims:
Indian taxpayers

Industry:
Financial

Geo:
India, Indian

TTPs:
Tactics: 6
Technics: 6

IOCs:
Url: 5
File: 5
Hash: 2

Soft:
android, truecaller

Algorithms:
sha256, sha1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: С 2020 г. вредоносная программа Drinik атакует индийских налогоплательщиков, добавив такие функции, как нацеливание на приложения UPI, рассылка массовых SMS-сообщений, предотвращение попыток сброса настроек, удаление True Caller, кража снимков с камеры, модификация содержимого буфера обмена, а также нацеливание на определенные компоненты банковских и UPI-приложений.
-----

С 2020 года вредоносная программа Drinik атакует индийских налогоплательщиков, особенно в сезон подачи налоговых деклараций. Последняя версия этой вредоносной программы может похвастаться целым рядом новых функций, таких как атака приложений UPI (Unified Payments Interface), массовая рассылка SMS-сообщений, предотвращение попыток сброса настроек, удаление True Caller, кража снимков с камеры, модификация содержимого буфера обмена, а также атака определенных компонентов банковских и UPI-приложений.

Основной метод сбора банковских реквизитов включает в себя комбинацию методов кейлоггинга и записи экрана. После того как пользователь посещает веб-страницу, записанный контент и украденные учетные данные отправляются на командно-контрольный сервер (C&C). Кроме того, вредоносная программа выводит на экран диалоговое окно с инструкцией по включению функции Restricted Setting, тем самым увеличивая вероятность получения доступа к ограниченным настройкам устройства.

Также следует отметить функцию Blast SMS, которая отправляет SMS-сообщения с зараженного устройства на номера, предоставленные сервером. Аналогично, функция Blast Contact Sequence передает на сервер список контактов устройства. Угроза также проверяет наличие приложения True Caller и в случае его присутствия предпринимает действия по его удалению. Это делается для того, чтобы скрыть свою вредоносную деятельность, включающую массовую рассылку SMS-сообщений и манипулирование входящими звонками.

Кроме того, вредоносная программа способна изменять содержимое буфера обмена и перехватывать изображения с камеры скомпрометированного устройства. Получив список имен компонентов целевых приложений, вредоносная программа активирует запись экрана и кейлоггинг для извлечения учетных данных при работе жертвы с любым из этих компонентов.

#ParsedReport #CompletenessMedium
20-09-2023

Dark Web Profile: NoEscape Ransomware

https://socradar.io/dark-web-profile-noescape-ransomware

Report completeness: Medium

Threats:
Noescape
Avaddon
Process_injection_technique
Credential_dumping_technique

Industry:
Telco, Healthcare, Financial, Retail, Government, Education

Geo:
Russia, Canada, America, Asia, Italy

TTPs:
Tactics: 10
Technics: 19

IOCs:
File: 4
Hash: 2

Soft:
event tracing for windows, esxi

Algorithms:
salsa20, chacha20, sha256, aes

Win API:
EtwEventWrite

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: NoEscape ransomware - это очень сложное вредоносное ПО для систем Windows и Linux, использующее множество тактик и стратегий для избежания обнаружения, стимулирующее аффилированных лиц с помощью модели совместного получения прибыли и применяющее тактику вымогательства с публичным размещением списка жертв и демонстрацией их данных. Эта угроза представляет собой серьезный вызов для механизмов защиты кибербезопасности, однако ее можно устранить с помощью проактивных мер, резервного копирования и информированности.
-----

NoEscape Ransomware - это платформа Ransomware-as-a-Service (RaaS), которая, как предполагается, является ребрендинговой версией программы Avaddon ransomware. Это очень сложная вредоносная программа, предназначенная для работы с операционными системами Windows и Linux. Она имеет несколько режимов шифрования, включая полный, быстрый и сильный, и использует для шифрования файлов различные алгоритмы шифрования, такие как RSA и ChaCHA20. Функция общего шифрования позволяет использовать единый ключ шифрования для всех зараженных файлов в сети, что облегчает операторам расшифровку данных в случае уплаты выкупа.

Разработчики NoEscape используют несколько тактик и стратегий, позволяющих избежать обнаружения, включая методы обфускации, генерацию событий ETW (Event Tracing for Windows) для утечки данных и маскировку вредоносных действий. Кроме того, компания предоставляет аффилированным лицам комплексную платформу для создания и управления полезной нагрузкой, адаптированной для различных ОС. Для стимулирования аффилированных лиц используется модель совместной прибыли, при которой они получают большую долю выкупа, если он превышает определенную сумму.

NoEscape отличается тактикой многократного вымогательства, при которой она ведет блог на базе TOR для публичного размещения списка своих жертв и демонстрации эксфильтрованных данных тех, кто не заплатил выкуп. Жертвы вируса принадлежат к самым разным отраслям, включая профессиональные услуги, производство, телекоммуникации, здравоохранение, государственное управление, финансовые услуги, юриспруденцию, гостиничный бизнес, образование и розничную торговлю. Страны, в которых расположены организации, пострадавшие от NoEscape, - это в основном Северная Америка, Европа и Юго-Восточная Азия, причем наибольшее число жертв приходится на США, Италию, Великобританию и Канаду.

Программа-вымогатель NoEscape представляет собой серьезный вызов для механизмов защиты кибербезопасности. Однако благодаря проактивным мерам, регулярному резервному копированию и осведомленности отдельные пользователи и организации могут снизить риски, связанные с такими программами.

#rstcloud

Т.к. мы собираем TI-отчеты со всего мира, то видим сколько раз мелькает та, или иная группировка.
Решили сделать некий индекс изученности группировок на основе кол-ва материалов по ним.
Вот допиливаем небольшой публичный лендосик.