Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Новый вымогатель атакует французские органы власти

19/03/20

hack34-2Компьютерная группа реагирования на чрезвычайные ситуации (CERT) Франции предупредила о новой киберпреступной группировке, атакующей местные органы власти с помощью вымогательского ПО.

Согласно уведомлению CERT, участились случаи заражения сетей местных органов власти новым вымогательским ПО Mespinoza (другое название Pysa). Впервые вредонос был обнаружен в октябре 2019 года – в это время в интернете стали появляться сообщения о неизвестном вымогателе, шифрующем файлы на компьютерах жертв, добавляя расширение .locked. Спустя два месяца был обнаружен новый вариант Mespinoza, добавляющий к имени файла расширение .pysa.

До недавнего времени вымогатель Mespinoza/Pysa атаковал преимущественно компании. Его операторы были заинтересованы в крупных жертвах, способных заплатить кругленькую сумму. Теперь же киберпреступники нацелились на французские организации.

Как происходит заражение, пока неизвестно. По словам специалистов CERT, некоторые факты указывают на то, что злоумышленники осуществляют брутфорс-атаки на консоли управления и учетные записи Active Directory, а затем похищают учетные данные. Некоторые ставшие жертвами Mespinoza организации также зафиксировали неавторизованное RDP-подключение к своим контроллерам домена и обнаружили подозрительные Batch- и PowerShell-скрипты.

Операторы Mespinoza также используют версию инструмента PowerShell Empire, предназначенного для проведения тестов на проникновение, блокируют работу антивирусных решений, а в некоторых случаях даже деинсталлируют Windows Defender. Как минимум в одном случае новый вариант вымогателя добавлял к имени файла расширение .newversion.

Специалисты изучили используемый Mespinoza алгоритм шифрования и не нашли каких-либо уязвимостей, которые позволили бы расшифровать файлы без ключа (то есть, без уплаты выкупа).

Темы:ЕвропаПреступленияВымогателиКиберугрозы
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...