19/03/20
Компьютерная группа реагирования на чрезвычайные ситуации (CERT) Франции предупредила о новой киберпреступной группировке, атакующей местные органы власти с помощью вымогательского ПО.
Согласно уведомлению CERT, участились случаи заражения сетей местных органов власти новым вымогательским ПО Mespinoza (другое название Pysa). Впервые вредонос был обнаружен в октябре 2019 года – в это время в интернете стали появляться сообщения о неизвестном вымогателе, шифрующем файлы на компьютерах жертв, добавляя расширение .locked. Спустя два месяца был обнаружен новый вариант Mespinoza, добавляющий к имени файла расширение .pysa.
До недавнего времени вымогатель Mespinoza/Pysa атаковал преимущественно компании. Его операторы были заинтересованы в крупных жертвах, способных заплатить кругленькую сумму. Теперь же киберпреступники нацелились на французские организации.
Как происходит заражение, пока неизвестно. По словам специалистов CERT, некоторые факты указывают на то, что злоумышленники осуществляют брутфорс-атаки на консоли управления и учетные записи Active Directory, а затем похищают учетные данные. Некоторые ставшие жертвами Mespinoza организации также зафиксировали неавторизованное RDP-подключение к своим контроллерам домена и обнаружили подозрительные Batch- и PowerShell-скрипты.
Операторы Mespinoza также используют версию инструмента PowerShell Empire, предназначенного для проведения тестов на проникновение, блокируют работу антивирусных решений, а в некоторых случаях даже деинсталлируют Windows Defender. Как минимум в одном случае новый вариант вымогателя добавлял к имени файла расширение .newversion.
Специалисты изучили используемый Mespinoza алгоритм шифрования и не нашли каких-либо уязвимостей, которые позволили бы расшифровать файлы без ключа (то есть, без уплаты выкупа).
