Кампания программы-вымогателя Hakbit, нацеленная на определенные европейские страны

Исследователи Proofpoint опубликовали результаты кампании с использованием программы-вымогателя Hakbit. Как говорится в их сообщении в блоге, программа-вымогатель распространяется через фишинговые электронные письма, нацеленные на лиц, занимающих «должности среднего уровня в фармацевтическом, юридическом, финансовом, бизнес-сервисе, розничной торговле и секторе здравоохранения». Атаки, описанные как маломасштабные, нацелены на сотрудников организаций, расположенных в Австрии, Швейцарии и Германии.

Когда Proofpoint проанализировала электронные письма, загруженные программой-вымогателем Hakbit, они обнаружили определенный шаблон в том, как были структурированы сообщения. Используя язык, применимый к целевой отрасли, электронные письма пытаются обманом заставить цель загрузить макрос Excel под названием 379710.xlsm. Рассматриваемый документ и инструкции по электронной почте о нем описываются следующим образом:

Поскольку макросы и вредоносные программы не будут работать на мобильном устройстве, в сообщении получателю предлагается использовать компьютер для чтения вложения. После открытия электронная таблица направляет получателя на немецком и английском языках для включения макросов… После включения макросов в электронной таблице она загружает и запускает GuLoader… Когда GuLoader запускается, он загружает и запускает Hakbit, программу-вымогатель, которая шифрует файлы с помощью шифрования AES-256. ».

После того, как система была успешно заражена Hakbit, она показывает довольно ювенильное сообщение о том, что «ВЫ ВЗЛОМАНЫ» и дает ссылку на документ.txt. Этот документ, написанный на немецком и английском языках, является запиской о выкупе. Для этого требуется примерно эквивалент 250 евро в биткойнах и инструкции о том, как снова получить доступ к машине.

На момент написания этой статьи исследователи Proofpoint не нашли доказательств того, что кто-либо платил выкуп. Это вполне может измениться, поскольку атаки программ-вымогателей, особенно те, которые содержатся в кампаниях целевого фишинга, доказали свою эффективность.

Стоит отметить, что Proofpoint завершает свой исследовательский пост следующим наблюдением:

Исследователи Proofpoint недавно выявили сдвиг в ландшафте угроз, связанный с крупномасштабной кампанией по вымогательству Avaddon, что согласуется с недавними отчетами поставщиков ПО с открытым исходным кодом. Hakbit представляет собой ориентированную на людей кампанию по вымогательству, ориентированную на конкретную аудиторию, роль, организацию и на родном языке пользователя.

Сохранится ли эта тенденция, предстоит определить. Однако специалистам по безопасности было бы разумно принять к сведению это изменение и спланировать его соответствующим образом.