12/07/22
0mega – новая вымогательская кампания, запущенная в мае 2022 года. За несколько месяцев жертвами злоумышленников стали множество организаций, пишут в Securitylab. Специалистам пока не удалось найти образец вымогательского ПО, используемого хакерами, поэтому информации о методах шифрования файлов крайне мало.
Однако на данный момент известно, что программа добавляет расширение 0mega к именам зашифрованных файлов, а также создает записку о выкупе под названием DECRYPT-FILES.txt.
Записка о выкупе индивидуальная для каждой жертвы и обычно содержит в себе название компании, описание различных данных, похищенных в ходе атаки. Кроме того, в некоторых записках есть угрозы от группировки 0mega. Злоумышленники угрожают раскрыть информацию об атаке деловым партнерам и торговым ассоциациям, если выкуп не будет выплачен.
Кроме этого, в записках о выкупе есть ссылка на сайт, позволяющий связаться с вымогателями и обсудить детали оплаты. Чтобы зайти на сайт, жертвы должны загрузить свои записки о выкупе, которые включают уникальный blob в кодировке Base64, используемый сайтом для идентификации жертвы.
.png?width=620&name=pasted%20image%200%20(12).png)
Также у 0mega есть специальный сайт с утечками, который используется для публикации украденных данных в случае неуплаты выкупа. В настоящее время на сайте хранится 152 Гб данных, похищенных у компании по ремонту электроники в результате майской атаки.
Однако на прошлой неделе появилась еще одна жертва, которая уже удалена с сайта злоумышленников. Это говорит о том, что компания-жертва заплатила выкуп. Так как вымогательская кампания только набирает обороты, специалисты предупреждают о возможных атаках в будущем.
