17/02/23
По данным компании Censys, более 500 европейских организаций стали новыми жертвами программы-вымогателя ESXiArgs. За последние несколько дней новые заражения произошли в следующих странах:
- Франция – 217 новых заражений;
- Германия — 137;
- Нидерланды — 28;
- Великобритания — 23;
- Украина — 19.
Кроме того, первые заражения датируются 12 октября 2022 года — задолго до того, как европейские органы кибербезопасности начали предупреждать о программе-вымогателе 2 февраля 2023 года, замечает Securitylab.
Также во время анализа специалисты обнаружили 2 хоста с очень похожими записками о выкупе, датированными серединой октября 2022 года. Прежде чем широко развернуть кампанию, злоумышленники часто «проверяют» свои методы на нескольких избранных хостах. Анализ каждого из этих хостов показывает наличие записки о выкупе на порту 443 от 12 октября 2022 года и 14 октября 2022 года.
Записка с требованием выкупа почти идентична записке, которую видели тысячи организаций, зараженных во время первой волны заражений. Эта вспышка охватила более 3800 организаций в США, Франции, Италии и других странах, включая Верховный суд Флориды, Технологический институт Джорджии, Университет Райса и несколько школ в Венгрии и Словакии.
Примечательно, что в обнаруженной кампании злоумышленники увеличили сумму выкупа в 2 раза по сравнению с первой волной атак.
Недавно CISA опубликовала дешифратор для ESXiArgs, который, используя недостаток в алгоритме шифрования вредоносного ПО, позволял восстановить зашифрованные файлы. Однако злоумышленники обновили ESXiArgs и исправили эту ошибку, сделав расшифровку практически невозможной.
