КиберСек

Метка: Akira ransomware

  • LockBit взломан: база, переговоры и пароли утекли

    LockBit взломан: база, переговоры и пароли утекли

    У группы LockBit возникли проблемы. Их сайт для партнеров был взломан, и теперь на нем появилась надпись, предупреждающая о том, что преступления плохи. Также был опубликован архив с базой данных, в котором содержатся информация о биткоин-адресах, списки вредоносного ПО, настройки атак и сообщения общения между группировкой и их жертвами.

    Пока неизвестно, кто именно взломал сайт, но похоже, что это сделала та же группа, которая ранее атаковала другого киберпреступника. Представитель LockBit признал факт взлома, но утверждает, что приватные ключи остались в безопасности.

    В прошлом году группировка уже столкнулась с серьезной атакой, но смогла восстановиться. Сейчас их репутация снова пострадала. Неизвестно, станет ли этот взлом конечной точкой для LockBit, но если даже они начинают терять контроль над личной информацией, то скоро может наступить конец.

  • Microsoft исправила проблему обновления Windows 11 24H2 через WSUS

    Microsoft исправила проблему обновления Windows 11 24H2 через WSUS

    Если вы управляете обновлениями в компании с помощью WSUS, то у вас есть отличные новости: Microsoft наконец исправила проблему с загрузкой Windows 11 24H2 через локальный сервер обновлений.

    Эта проблема началась после установки апрельского патча безопасности (KB5055528, выпущенного 8 апреля 2025 года) и вызывала ошибку 0x80240069 при попытке обновиться с версий 22H2 или 23H2. Служба обновлений Windows (wuauserv) просто падала, и обновления не загружались. Эта проблема затрагивала только корпоративные среды, так как домашние пользователи обычно не используют WSUS.

    Microsoft начала распространять автоматический откат Known Issue Rollback (KIR), чтобы исправить эту ситуацию, но пока не на всех устройствах. Администраторам нужно будет вручную установить групповую политику KIR на затронутые машины с Windows 11 22H2 и 23H2 через Group Policy Editor на локальном ПК или на контроллере домена.

    Кроме того, Microsoft работает над исправлением другой проблемы: некоторые ПК неожиданно обновляются до Windows 11, несмотря на запрет в политике Intune. Это уже случалось ранее с серверами Windows Server 2019 и 2022, которые обновлялись до Server 2025 без разрешения. Подробные инструкции можно найти на сайте Microsoft в разделе документации.

  • Атаки на сферу здравоохранения увеличились на 25%

    Атаки на сферу здравоохранения увеличились на 25%

    Количество кибератак на здравоохранение, фармацевтику и аптеки увеличилось на четверть с начала 2025 года. Эксперты считают, что отрасль плохо защищена. Главные цели злоумышленников — кража личных и медицинских данных, а также вымогательство.

    За первый квартал 2025 года было зафиксировано около 2400 атак на здравоохранение, что на 24% больше, чем годом ранее. Особенно много атак пришлось на фармацевтические компании. Киберпреступники всё активнее интересуются аптечными сетями.

    Профессионалы в области кибербезопасности обращают внимание на деятельность кибергруппировок, которые проводят шпионаж и наносят репутационный ущерб компаниям. Данные, украденные у аптек и клиник, появляются в интернете, что говорит о росте интереса киберпреступников к этим отраслям.

  • К2Тех и К2 Кибербезопасность бьют шифровальщиков

    К2Тех и К2 Кибербезопасность бьют шифровальщиков

    Компании К2Тех и К2 Кибербезопасность запустили новую услугу для защиты организаций от атак программ-шифровальщиков. Они хотят предотвратить вторжение хакеров в компьютерные системы и уменьшить ущерб в случае успешной атаки.

    Количество атак с использованием шифровальщиков увеличилось на 44% в 2024 году. Они оставляют организации без данных.

    Компании собрали команду из 80 специалистов, чтобы помочь клиентам. Они предлагают аудит защиты данных, разработку плана улучшения безопасности и внедрение защитных решений. Клиенты могут получить экстренную помощь и консультации бесплатно.

    Спрос на такие услуги растет, потому что вирусы-шифровальщики могут нанести организациям большой ущерб. Многие компании не имеют специализированного отдела по кибербезопасности и решают проблемы самостоятельно.

    Новая услуга предназначена для организаций, которые уже пострадали от атак, и для тех, кто хочет улучшить свою кибербезопасность заранее.

  • Число компаний в России, пострадавших от вредоносов, снизилось на 15%

    Число компаний в России, пострадавших от вредоносов, снизилось на 15%

    В последний квартал 2024 года число российских компаний, которые пострадали от вредоносных программ, уменьшилось на 15% — с 34 тысяч до 29 тысяч. Это показали данные исследовательского центра Solar 4RAYS. Эксперты считают, что уменьшение связано с тем, что зловреды стали менее активными в конце года.

    Данные для отчета были получены от сети сенсоров PDNS, одной из крупнейших в России. Эти сенсоры обнаруживают различные виды вредоносных программ, таких как программы для майнинга криптовалют, удаленного управления устройствами, шифровальщики, ботнеты и другие. Из данных сенсоров можно узнать, какие регионы и отрасли чаще сталкиваются с такими угрозами.

    Общее число случаев обнаружения вредоносных программ в организациях уменьшилось на треть — до 1,2 миллиона. В среднем на каждую компанию приходилось 41 случай заражения, что меньше, чем в предыдущем квартале.

    Организации здравоохранения, государственного сектора, пищевой промышленности и образования остаются наиболее уязвимыми перед вредоносными программами. Самыми распространенными угрозами остаются программы удаленного доступа и деятельность профессиональных кибергруппировок, которые осуществляют целевые атаки.

    Эксперты отмечают, что убавление активности вирусов в конце года — это временное явление, и не говорит о общем улучшении ситуации с киберугрозами. Компании все равно регулярно сталкиваются с различными видами вредоносных программ.

    Поэтому важно не только устанавливать антивирусные программы, но и использовать продвинутые решения для защиты, следить за событиями в сети и обучать сотрудников по вопросам кибербезопасности.

  • Шифровальщики атаковали Лукойл в рамках кампании против ТЭК России

    Шифровальщики атаковали Лукойл в рамках кампании против ТЭК России

    Атака на компанию Лукойл была совершена вероятно хакерами, которые зашифровали данные в их компьютерной системе. Они могли использовать различные методы, такие как фишинг, уязвимости или доступ через партнеров компании. Это может быть частью целенаправленной атаки на энергетический сектор России.

    Возможно, за атакой стоит группа, такая как BlackCat или LockBit, которые вымогают деньги у крупных компаний. Эксперты предупреждают, что компании, которые платят выкуп, могут стать жертвами атак снова, так как деньги пойдут на новые атаки.

    Атака на Лукойл началась утром 26 марта. О ней было объявлено на сайте Центра мониторинга сетей связи общего пользования. Атака затронула станции и офисы компании в Москве, что привело к парализации работы трех офисов.

  • Хакер Medusa обнаружил новый способ обойти EDR

    Хакер Medusa обнаружил новый способ обойти EDR

    В новых атаках Medusa используют вредоносный драйвер, который обходит защиту EDR. Этот драйвер имеет подпись украденного сертификата. Ученые из Elastic Security Labs назвали его ABYSSWORKER.
    Новый вирус (smuol.sys) распространяется с помощью атаки BYOVD. Он устанавливается с загрузчиком, который защищен HeartCrypt, и использует ABYSSWORKER для отключения EDR или других средств защиты.
    Вредоносный драйвер представляет себя, как легальный драйвер CrowdStrike Falcon, чтобы не быть обнаруженным. Аналитики обнаружили десятки артефактов ABYSSWORKER на VirusTotal за период с 8 августа 2024 года по 25 февраля 2025 года. Все образцы были подписаны украденными сертификатами компаний из Китая, которые позже были отозваны.
    При запуске фейковый CSAgent.sys добавляет ID своего процесса в список защищенных и начинает прослушивать запросы на управление вводом-выводом.
    Ранее были случаи атак Medusa, использующих вредоносные драйверы для обхода EDR. Операторы другого вредоносного программного обеспечения, Akira, обнаружили простой способ обойти защитные решения, найдя уязвимые IoT-устройства в целевой сети.

  • Бесплатный GPU-дешифратор для Linux-вымогателя Akira доступен

    Бесплатный GPU-дешифратор для Linux-вымогателя Akira доступен

    Исследователь Йоханес Нугрохо создал специальный инструмент для расшифровки файлов, которые были зашифрованы вредоносной программой Akira для Linux. Этот инструмент бесплатный и использует мощность графических процессоров для восстановления ключей шифрования.

    Нугрохо начал работу над этим проектом, чтобы помочь своему другу. Он думал, что ему потребуется всего неделя, чтобы справиться с задачей, но в итоге проект занял три недели и потребовал затрат на GPU-ресурсы в размере 1200 долларов.

    Программа Akira использует текущее время с точностью до наносекунд для создания уникальных ключей шифрования. Эти ключи дополнительно защищаются с помощью RSA-4096 и добавляются к каждому зашифрованному файлу.

    Чтобы расшифровать файлы, Нугрохо изучил журналы событий и метаданные файлов, чтобы сузить диапазон поиска. Он использовал мощные GPU-сервисы облачных платформ RunPod и Vast.ai. С помощью шестнадцати графических процессоров RTX 4090 ему удалось подобрать ключ за примерно 10 часов.

    Инструмент для расшифровки уже доступен на GitHub с подробными инструкциями. Однако Нугрохо напоминает пользователям о необходимости делать резервные копии данных, так как неправильный ключ может повредить файлы.