377
Новая группа вымогателей MorLock увеличила интенсивность атак на российский бизнес
MorLock специализируется исключительно на шифровании данных в ИТ-инфраструктуре жертвы с использованием программ-вымогателей LockBit 3 (Black) и Babuk. За восстановление доступа атакующие требуют выкуп, размер которого может составлять десятки и сотни миллионов рублей. Правда, в процессе переговоров сумма может быть снижена почти вдвое.
Из-за того, что группа не занимается эксфильтрацией — копированием и хищением — данных, атаки MorLock длятся всего несколько дней с момента получения доступа и до начала процесса шифрования данных.
В качестве начального вектора атак злоумышленники использовали уязвимости в публичных приложениях (например, Zimbra), а также доступы, приобретенные на таких закрытых торговых площадках, как, например, Russian Market. В последних атаках в качестве первоначального доступа атакующие воспользовались скомпрометированными учетными данными партнеров пострадавших компаний.
Во всех случаях, если у жертвы был установлен популярный российский корпоративный антивирус, атакующие, получив доступ к его административной панели, отключали антивирусную защиту и использовали данный продукт для распространения программы-вымогателя в сети жертвы.
