Криминалисты F.A.C.C.T. проанализировали атаки новой группы вымогателей Masque
Напряженная геополитическая обстановка и доступность исходных кодов и билдеров таких популярных программ-вымогателей, как Babuk, Conti и LockBit 3 (Black), породило большое количество криминальных групп, использующих программы-вымогатели в атаках на российские компании. В этом году криминалисты компании F.A.C.C.T. обнаружили новую группу вымогателей, об атаках которой рассказали в новом блоге.
Masque – русскоговорящая финансово мотивированная группа, осуществляющая атаки на российский бизнес с использованием программ-вымогателей LockBit 3 (Black) и Babuk (ESXi).
О своей финансовой мотивации участники группы прямо заявляют на русском языке в записке с требованием выкупа (рис. 1).
Свою деятельность группа Masque начала с января 2024 года, однако с мая по октябрь 2024 года наблюдалось заметное снижение ее активности. Однако в ноябре-декабре 2024 года Masque совершила несколько атак на более крупные российские компании, а также в арсенале группы появились новые инструменты.
Всего с января 2024 года группа совершила как минимум 10 атак. Ее целями становились российские компании из сегмента малого и среднего бизнеса. Сумма первоначального выкупа составляет 5-10 млн рублей (в BTC или XMR).
В большинстве случаев начальным вектором атаки Masque является реализация уязвимости в публично доступных сервисах, таких как VMware Horizon, через эксплуатацию уязвимости CVE-2021-44228 (log4shell) в библиотеке log4j, несмотря на то, что с момента её обнаружения прошло значительное время. После успешной эксплуатации уязвимости атакующие используют скомпрометированный сервер в качестве плацдарма для дальнейшего развития атаки.
В целом, группа Masque не демонстрирует в атаках изощренных и инновационных методов. Используемый группой инструментарий
Читать на habr.com