F.A.С.С.T. обнаружил новую группу вымогателей

Специалисты F.A.C.C.T. обнаружили новую преступную группу вымогателей Muliaka. Киберпреступники атакуют российские компании примерно с декабря 2023 года. 

Так, в одной из своих атак для распространения программы-вымогателя в сети жертвы и для ее запуска на хостах Windows атакующие воспользовались популярным корпоративным антивирусом. 

Также в январе 2024 года одна из российских компаний была атакована данной группировкой — в результате у жертвы были зашифрованы Windows-системы и виртуальная инфраструктура VMware ESXi. 

Период с момента получения доступа к ИТ инфраструктуре жертвы до начала шифрования данных занял у хакеров около двух недель. В ходе расследования специалисты F.A.C.C.T. выяснили, что для удаленного доступа к ИТ-инфраструктуре жертвы атакующие использовали VPN-сервис компании, а для перемещения по узлам инфраструктуры службу удаленного управления WinRM (Windows Remote Management). 

Специалисты F.A.C.C.T. назвали новую группу Muliaka, использовав в качестве нейминга часть имени аккаунта электронной почты kilamulia@proton.me, которую вымогатели оставляют для связи с жертвой, и южнорусское слово «муляка», обозначающее грязную мутную воду. 

Для распространения своей программы-вымогателя в сети жертвы и для ее запуска на хостах Windows атакующие воспользовались установленным корпоративным антивирусным программным обеспечением. Для удаленного запуска шифровальщика злоумышленники создали инсталляционный пакет и соответствующую задачу. 

Интересно, что перед шифрованием злоумышленники запускали на хостах вспомогательный PowerShell-скрипт Update.ps1, который предназначен для остановки и запрета служб баз данных и резервного копирования, удаления точек восстановления и теневых копий томов, он же отключает сетевые адаптеры на хосте, и тем самым, отключает хост от сети. Напомним, что подобную технику ранее использовала группа вымогателей OldGremlin. 

Ранее аналитики F.A.C.C.T. обнаружили новую волну вредоносных рассылок от группы Werewolves. Так, хакеры атаковали российские производственные, энергетические и геологоразведочные компании. В своих действиях они использовали тему весеннего призыва, а также различные претензии, которые предлагалось решить в досудебном порядке.