Группа MorLock атакует российский бизнес

Компания F.A.C.C.T. зафиксировала деятельность новой преступной группы вымогателей MorLock. Киберпреступники атакуют российский бизнес примерно с начала 2024 года и в апреле-мае существенно усилили интенсивность своих атак. Отмечается, что MorLock использует для распространения программы-вымогателя в сети жертвы корпоративный антивирус.

Согласно данным специалистов F.A.C.C.T., первые атаки группировки были замечены в самом начале 2024 года и с этого момента их жертвами стало уже по меньшей мере 9 российских компаний из сегмента среднего и крупного бизнеса. 

Отмечается, что MorLock специализируется исключительно на шифровании данных в ИТ-инфраструктуре жертвы с использованием программ-вымогателей LockBit 3 (Black) и Babuk. За восстановление доступа атакующие требуют выкуп, размер которого может составлять десятки и сотни миллионов рублей. Правда, в процессе переговоров сумма может быть снижена. 

Аналитики добавили, что ввиду того, что группировка не занимается копированием и хищением данных, их атаки длятся всего несколько дней с момента получения доступа и до начала процесса шифрования информации. 

В качестве начального вектора атак злоумышленники использовали уязвимости в публичных приложениях (например, Zimbra), а также доступы, приобретенные на таких закрытых торговых площадках. 

Более того, во всех случаях, если у жертвы был установлен популярный российский корпоративный антивирус, атакующие, получив доступ к его административной панели, отключали антивирусную защиту и использовали данный продукт для распространения программы-вымогателя в сети жертвы. 

Ранее специалисты F.A.C.C.T. обнаружили другую преступную группу вымогателей Muliaka. Киберпреступники атакуют российские компании примерно с декабря 2023 года. Так, в январе 2024 года одна из российских компаний была атакована данной группировкой — в результате у жертвы были зашифрованы Windows-системы и виртуальная инфраструктура VMware ESXi.