logo
Overkill Security  Because Nothing Says 'Security' Like a Dozen Firewalls and a Biometric Scanner
О проекте Просмотр Уровни подписки Фильтры Обновления проекта Контакты Поделиться Метки
Все проекты
О проекте
A blog about all things techy! Not too much hype, just a lot of cool analysis and insight from different sources.

📌Not sure what level is suitable for you? Check this explanation https://sponsr.ru/overkill_security/55291/Paid_Content/

QA — directly or via email overkill_qa@outlook.com
Публикации, доступные бесплатно
Уровни подписки
Единоразовый платёж

Your donation fuels our mission to provide cutting-edge cybersecurity research, in-depth tutorials, and expert insights. Support our work today to empower the community with even more valuable content.

*no refund, no paid content

Помочь проекту
Regular Reader 1 500₽ месяц 16 200₽ год
(-10%)
При подписке на год для вас действует 10% скидка. 10% основная скидка и 0% доп. скидка за ваш уровень на проекте Overkill Security

Ideal for regular readers who are interested in staying informed about the latest trends and updates in the cybersecurity world without.

Оформить подписку
Pro Reader 3 000₽ месяц 30 600₽ год
(-15%)
При подписке на год для вас действует 15% скидка. 15% основная скидка и 0% доп. скидка за ваш уровень на проекте Overkill Security

Designed for IT professionals, cybersecurity experts, and enthusiasts who seek deeper insights and more comprehensive resources. + Q&A

Оформить подписку
Фильтры
Обновления проекта
Контакты
Поделиться
Метки
Читать: 3+ мин
logo Overkill Security

LockBit publishes confidential data stolen from Cannes hospital in France

📌LockBit ‎is‏ ‎the ‎most ‎dangerous ‎ransomware ‎in‏ ‎the ‎world‏ ‎and‏ ‎has ‎been ‎responsible‏ ‎for ‎a‏ ‎significant ‎number ‎of ‎attacks‏ ‎in‏ ‎France ‎between‏ ‎April ‎2022‏ ‎and ‎March ‎2023.

📌LockBit ‎accounted ‎for‏ ‎57%‏ ‎of ‎known‏ ‎attacks ‎in‏ ‎France ‎during ‎this ‎period, ‎which‏ ‎is‏ ‎significantly‏ ‎higher ‎than‏ ‎its ‎nearest‏ ‎competitor, ‎ALPHV.

📌The‏ ‎number‏ ‎of ‎monthly‏ ‎attacks ‎in ‎France ‎has ‎been‏ ‎highly ‎volatile,‏ ‎with‏ ‎LockBit ‎being ‎responsible‏ ‎for ‎the‏ ‎majority ‎of ‎this ‎volatility.

📌The‏ ‎French‏ ‎economy ‎is‏ ‎large ‎enough‏ ‎to ‎provide ‎a ‎fertile ‎hunting‏ ‎ground‏ ‎for ‎cybercriminals,‏ ‎and ‎it‏ ‎is ‎possible ‎that ‎some ‎of‏ ‎LockBit’s‏ ‎affiliates‏ ‎have ‎decided‏ ‎to ‎specialize‏ ‎in ‎attacking‏ ‎French‏ ‎targets.

📌In ‎July‏ ‎2022, ‎La ‎Poste ‎Mobile, ‎a‏ ‎mobile ‎carrier‏ ‎owned‏ ‎by ‎French ‎postal‏ ‎company ‎La‏ ‎Poste, ‎suffered ‎a ‎LockBit‏ ‎ransomware‏ ‎attack, ‎resulting‏ ‎in ‎the‏ ‎publication ‎of ‎private ‎information ‎of‏ ‎more‏ ‎than ‎a‏ ‎million ‎and‏ ‎a ‎half ‎people ‎in ‎France.

📌In‏ ‎August‏ ‎2022,‏ ‎attackers ‎demanded‏ ‎$10 ‎million‏ ‎after ‎a‏ ‎ransomware‏ ‎attack ‎on‏ ‎the ‎Center ‎Hospitalier ‎Sud ‎Francilien‏ ‎(CHSF), ‎a‏ ‎1000-bed‏ ‎hospital ‎near ‎Paris,‏ ‎causing ‎disruption‏ ‎to ‎computer ‎systems ‎and‏ ‎resulting‏ ‎in ‎patients‏ ‎having ‎to‏ ‎be ‎sent ‎elsewhere ‎and ‎surgeries‏ ‎being‏ ‎postponed.

📌In ‎mid-November‏ ‎2022, ‎French‏ ‎defense ‎and ‎technology ‎group ‎Thales‏ ‎confirmed‏ ‎a‏ ‎data ‎breach‏ ‎affecting ‎contracts‏ ‎and ‎partnerships‏ ‎in‏ ‎Malaysia ‎and‏ ‎Italy, ‎with ‎the ‎perpetrators ‎using‏ ‎LockBit ‎ransomware.

📌France‏ ‎was‏ ‎the ‎fifth ‎most‏ ‎attacked ‎country‏ ‎in ‎the ‎world ‎between‏ ‎April‏ ‎2022 ‎and‏ ‎March ‎2023,‏ ‎with ‎the ‎government ‎sector ‎being‏ ‎attacked‏ ‎more ‎often‏ ‎than ‎in‏ ‎similar ‎countries.

📌The ‎reasons ‎for ‎LockBit’s‏ ‎dominance‏ ‎in‏ ‎France ‎are‏ ‎unclear, ‎but‏ ‎it ‎may‏ ‎be‏ ‎due ‎to‏ ‎the ‎group’s ‎ability ‎to ‎exploit‏ ‎opportunities ‎outside‏ ‎of‏ ‎the ‎Anglosphere ‎and‏ ‎the ‎possibility‏ ‎that ‎some ‎of ‎its‏ ‎affiliates‏ ‎have ‎specialized‏ ‎in ‎attacking‏ ‎French ‎targets.

📌LockBit ‎operates ‎as ‎a‏ ‎Ransomware-as-a-Service‏ ‎(RaaS) ‎model,‏ ‎with ‎attacks‏ ‎being ‎carried ‎out ‎by ‎independent‏ ‎criminal‏ ‎gangs,‏ ‎referred ‎to‏ ‎as ‎«affiliates»,‏ ‎who ‎pay‏ ‎the‏ ‎LockBit ‎gang‏ ‎20% ‎of ‎the ‎ransoms ‎they‏ ‎extract.

📌The ‎true‏ ‎number‏ ‎of ‎LockBit ‎attacks‏ ‎is ‎likely‏ ‎far ‎higher ‎than ‎the‏ ‎number‏ ‎of ‎known‏ ‎attacks, ‎as‏ ‎many ‎victims ‎choose ‎to ‎pay‏ ‎the‏ ‎ransom ‎rather‏ ‎than ‎risk‏ ‎having ‎their ‎data ‎published ‎on‏ ‎the‏ ‎dark‏ ‎web.

📌LockBit ‎has‏ ‎been ‎linked‏ ‎to ‎attacks‏ ‎on‏ ‎hospitals, ‎governments,‏ ‎and ‎businesses ‎globally, ‎causing ‎significant‏ ‎harm ‎to‏ ‎thousands‏ ‎of ‎victims.

📌Law ‎enforcement‏ ‎agencies ‎have‏ ‎been ‎working ‎to ‎disrupt‏ ‎LockBit’s‏ ‎operations, ‎with‏ ‎several ‎people‏ ‎alleged ‎to ‎be ‎linked ‎to‏ ‎the‏ ‎gang ‎arrested‏ ‎in ‎Ukraine‏ ‎and ‎Poland.

📌Despite ‎these ‎efforts, ‎LockBit‏ ‎continues‏ ‎to‏ ‎operate ‎and‏ ‎launch ‎attacks,‏ ‎with ‎the‏ ‎group’s‏ ‎purported ‎leader‏ ‎vowing ‎to ‎continue ‎their ‎activities.

📌The‏ ‎U.S. ‎State‏ ‎Department‏ ‎has ‎announced ‎monetary‏ ‎rewards ‎of‏ ‎up ‎to ‎$15 ‎million‏ ‎for‏ ‎information ‎that‏ ‎could ‎lead‏ ‎to ‎the ‎identification ‎of ‎key‏ ‎leaders‏ ‎within ‎the‏ ‎LockBit ‎ransomware‏ ‎group ‎and ‎the ‎arrest ‎of‏ ‎any‏ ‎individual‏ ‎participating ‎in‏ ‎the ‎operation.

📌Since‏ ‎January ‎2020,‏ ‎LockBit‏ ‎actors ‎have‏ ‎executed ‎over ‎2,000 ‎attacks ‎against‏ ‎victims ‎in‏ ‎the‏ ‎United ‎States ‎and‏ ‎around ‎the‏ ‎world, ‎causing ‎costly ‎disruptions‏ ‎to‏ ‎operations ‎and‏ ‎the ‎destruction‏ ‎or ‎exfiltration ‎of ‎sensitive ‎information.

📌More‏ ‎than‏ ‎$144 ‎million‏ ‎in ‎ransom‏ ‎payments ‎have ‎been ‎made ‎to‏ ‎recover‏ ‎from‏ ‎LockBit ‎ransomware‏ ‎events.

📌In ‎response‏ ‎to ‎the‏ ‎ransom‏ ‎demand, ‎CHC-SV‏ ‎stated, ‎«Public ‎health ‎establishments ‎never‏ ‎pay ‎ransom‏ ‎in‏ ‎the ‎face ‎of‏ ‎this ‎type‏ ‎of ‎attack.»

📌The ‎hospital ‎also‏ ‎promised‏ ‎to ‎notify‏ ‎patients ‎and‏ ‎stakeholders ‎if ‎the ‎ransom ‎gang‏ ‎decided‏ ‎to ‎publish‏ ‎any ‎stolen‏ ‎data.

📌At ‎the ‎time ‎of ‎this‏ ‎report,‏ ‎there‏ ‎has ‎been‏ ‎no ‎statement‏ ‎from ‎the‏ ‎Hôpital‏ ‎de ‎Cannes‏ ‎regarding ‎the ‎alleged ‎published ‎data

Читать: 3+ мин
logo Overkill Security

BianLian

BianLian ‎ransomware‏ ‎has ‎shown ‎a ‎remarkable ‎ability‏ ‎to ‎adapt‏ ‎and‏ ‎evolve ‎faster ‎than‏ ‎a ‎chameleon‏ ‎at ‎a ‎disco. ‎Initially‏ ‎an‏ ‎Android ‎banking‏ ‎trojan, ‎it‏ ‎decided ‎that ‎was ‎too ‎mainstream‏ ‎and‏ ‎reinvented ‎itself‏ ‎as ‎a‏ ‎ransomware ‎strain ‎in ‎July ‎2022,‏ ‎because‏ ‎why‏ ‎not ‎join‏ ‎the ‎lucrative‏ ‎world ‎of‏ ‎digital‏ ‎extortion?

BianLian ‎targets‏ ‎just ‎about ‎anyone ‎it ‎can,‏ ‎from ‎healthcare‏ ‎and‏ ‎education ‎to ‎government‏ ‎entities, ‎because‏ ‎diversity ‎is ‎key ‎in‏ ‎the‏ ‎world ‎of‏ ‎cybercrime. ‎It’s‏ ‎not ‎picky ‎about ‎its ‎victims,‏ ‎much‏ ‎like ‎a‏ ‎buffet ‎enthusiast‏ ‎at ‎an ‎all-you-can-eat ‎restaurant.

In ‎a‏ ‎twist‏ ‎that‏ ‎would ‎make‏ ‎a ‎soap‏ ‎opera ‎writer‏ ‎proud,‏ ‎BianLian ‎ditched‏ ‎its ‎encryption ‎antics ‎after ‎Avast‏ ‎released ‎a‏ ‎decryptor‏ ‎and ‎now ‎they‏ ‎focus ‎on‏ ‎data ‎exfiltration, ‎threatening ‎to‏ ‎spill‏ ‎your ‎secrets‏ ‎unless ‎you‏ ‎pay ‎up, ‎like ‎a ‎cyber‏ ‎version‏ ‎of ‎«I‏ ‎know ‎what‏ ‎you ‎did ‎last ‎summer.»

-------

This ‎document‏ ‎provides‏ ‎an‏ ‎analysis ‎of‏ ‎the ‎Bian‏ ‎Lian ‎ransomware,‏ ‎a‏ ‎malicious ‎software‏ ‎that ‎has ‎been ‎increasingly ‎targeting‏ ‎various ‎sectors‏ ‎with‏ ‎a ‎focus ‎on‏ ‎data ‎exfiltration-based‏ ‎extortion. ‎The ‎analysis ‎delves‏ ‎into‏ ‎multiple ‎aspects‏ ‎of ‎ransomware,‏ ‎including ‎its ‎operational ‎tactics, ‎technical‏ ‎characteristics,‏ ‎and ‎the‏ ‎implications ‎of‏ ‎its ‎activities ‎on ‎cybersecurity.

The ‎analysis‏ ‎of‏ ‎BianLian‏ ‎ransomware ‎is‏ ‎particularly ‎useful‏ ‎for ‎security‏ ‎professionals,‏ ‎IT ‎personnel,‏ ‎and ‎organizations ‎across ‎various ‎industries.‏ ‎It ‎equips‏ ‎them‏ ‎with ‎the ‎knowledge‏ ‎to ‎understand‏ ‎the ‎threat ‎landscape, ‎anticipate‏ ‎potential‏ ‎attack ‎vectors,‏ ‎and ‎implement‏ ‎robust ‎security ‎protocols ‎to ‎mitigate‏ ‎risks‏ ‎associated ‎with‏ ‎ransomware ‎attacks.


Unpacking‏ ‎in ‎more ‎details

Читать: 2+ мин
logo Overkill Security

AlphV

What ‎a‏ ‎dramatic ‎cyber ‎soap ‎opera ‎we’ve‏ ‎witnessed ‎with‏ ‎the‏ ‎Alpha ‎ransomware ‎group,‏ ‎also ‎known‏ ‎by ‎their ‎edgy ‎alias,‏ ‎BlackCat.‏ ‎It’s ‎like‏ ‎a ‎game‏ ‎of ‎digital ‎whack-a-mole, ‎with ‎the‏ ‎FBI‏ ‎and ‎friends‏ ‎swinging ‎the‏ ‎mallet ‎of ‎justice ‎and ‎the‏ ‎ransomware‏ ‎rascals‏ ‎popping ‎up‏ ‎with ‎a‏ ‎cheeky ‎«unseized»‏ ‎banner‏ ‎as ‎if‏ ‎they’re ‎playing ‎a ‎high-stakes ‎game‏ ‎of ‎capture‏ ‎the‏ ‎flag.

The ‎FBI’s ‎initial‏ ‎victory ‎lap‏ ‎was ‎cut ‎short ‎when‏ ‎AlphV’s‏ ‎site ‎reemerged,‏ ‎now ‎mysteriously‏ ‎devoid ‎of ‎any ‎incriminating ‎victim‏ ‎lists.

Will‏ ‎the ‎FBI‏ ‎finally ‎pin‏ ‎the ‎cyber ‎tail ‎on ‎the‏ ‎Black‏ ‎Cat,‏ ‎or ‎will‏ ‎these ‎digital‏ ‎desperados ‎slip‏ ‎away‏ ‎once ‎more?‏ ‎Stay ‎tuned ‎for ‎the ‎next‏ ‎episode ‎of‏ ‎«Feds‏ ‎vs. ‎Felons: ‎The‏ ‎Cyber ‎Chronicles.»


-------

This‏ ‎document ‎presents ‎a ‎analysis‏ ‎of‏ ‎the ‎Alpha‏ ‎ransomware ‎site,‏ ‎associated ‎with ‎the ‎ransomware ‎group‏ ‎also‏ ‎known ‎as‏ ‎BlackCat. ‎The‏ ‎analysis ‎covers ‎the ‎ransomware ‎technical‏ ‎details,‏ ‎including‏ ‎its ‎encryption‏ ‎mechanisms, ‎initial‏ ‎access ‎vectors,‏ ‎lateral‏ ‎movement ‎techniques,‏ ‎and ‎data ‎exfiltration ‎methods.

The ‎insights‏ ‎gained ‎from‏ ‎this‏ ‎analysis ‎are ‎important‏ ‎for ‎cybersecurity‏ ‎practitioners, ‎IT ‎professionals, ‎and‏ ‎policymakers.‏ ‎Understanding ‎the‏ ‎intricacies ‎of‏ ‎AlphV/BlackCat ‎ransomware ‎enables ‎the ‎development‏ ‎of‏ ‎more ‎effective‏ ‎defense ‎mechanisms,‏ ‎enhances ‎incident ‎response ‎strategies.


Unpacking ‎in‏ ‎more‏ ‎detail

Читать: 2+ мин
logo Overkill Security

Ransomware Q4

In ‎the‏ ‎thrilling ‎conclusion ‎to ‎2023, ‎ransomware‏ ‎groups ‎had‏ ‎a‏ ‎banner ‎year, ‎really‏ ‎outdoing ‎themselves‏ ‎in ‎the ‎«make ‎everyone’s‏ ‎life‏ ‎miserable» ‎department.‏ ‎LockBit ‎3.0‏ ‎took ‎gold ‎in ‎the ‎hacking‏ ‎olympics,‏ ‎followed ‎by‏ ‎the ‎plucky‏ ‎upstarts ‎Clop ‎and ‎ALPHV/BlackCat. ‎Apparently,‏ ‎48%‏ ‎of‏ ‎organizations ‎were‏ ‎feeling ‎left‏ ‎out ‎and‏ ‎decided‏ ‎to ‎get‏ ‎in ‎on ‎the ‎cyber ‎attack‏ ‎action.

Business ‎services‏ ‎won‏ ‎the ‎«most ‎likely‏ ‎to ‎get‏ ‎digitally ‎mugged» ‎award, ‎with‏ ‎education‏ ‎and ‎retail‏ ‎nipping ‎at‏ ‎their ‎heels.

Hackers ‎expanded ‎their ‎repertoire‏ ‎beyond‏ ‎boring ‎old‏ ‎encryption ‎to‏ ‎the ‎much ‎more ‎exciting ‎world‏ ‎of‏ ‎extortion.‏ ‎The ‎US,‏ ‎UK ‎and‏ ‎Canada ‎took‏ ‎top‏ ‎honors ‎in‏ ‎the ‎«countries ‎most ‎likely ‎to‏ ‎pay ‎up»‏ ‎category.

Bitcoins‏ ‎were ‎the ‎currency‏ ‎of ‎choice‏ ‎for ‎discerning ‎hackers, ‎because‏ ‎who‏ ‎doesn’t ‎love‏ ‎untraceable ‎money?‏ ‎Cheap ‎organizations ‎tried ‎to ‎skimp‏ ‎on‏ ‎the ‎ransom,‏ ‎with ‎only‏ ‎37% ‎paying ‎up. ‎Those ‎who‏ ‎did‏ ‎fork‏ ‎over ‎the‏ ‎cash ‎had‏ ‎to ‎dig‏ ‎deep,‏ ‎with ‎average‏ ‎payments ‎reaching ‎$408,643. ‎CyberCrime ‎really‏ ‎does ‎pay!


Unpacking‏ ‎in‏ ‎more ‎detail

Читать: 3+ мин
logo Overkill Security

Ransomware Q3

Let’s ‎all‏ ‎raise ‎our ‎glasses ‎to ‎2023,‏ ‎the ‎year‏ ‎when‏ ‎ransomware ‎groups ‎threw‏ ‎a ‎non-stop‏ ‎party, ‎smashing ‎records ‎like‏ ‎they‏ ‎were ‎cheap‏ ‎champagne ‎glasses‏ ‎at ‎a ‎billionaire’s ‎wedding. ‎With‏ ‎a‏ ‎staggering ‎4,368‏ ‎victims ‎caught‏ ‎in ‎their ‎digital ‎nets, ‎these‏ ‎cyber‏ ‎buccaneers‏ ‎managed ‎to‏ ‎outdo ‎themselves,‏ ‎marking ‎a‏ ‎55,5%‏ ‎increase ‎from‏ ‎the ‎previous ‎year.

The ‎MVPs ‎of‏ ‎this ‎cyber‏ ‎heist‏ ‎extravaganza? ‎None ‎other‏ ‎than ‎the‏ ‎notorious ‎LockBit3.0, ‎ALPHV, ‎and‏ ‎Cl0p,‏ ‎who, ‎in‏ ‎Q2, ‎decided‏ ‎to ‎go ‎on ‎a ‎hacking‏ ‎spree,‏ ‎compromising ‎1,386‏ ‎victims ‎worldwide.‏ ‎Despite ‎the ‎valiant ‎efforts ‎of‏ ‎global‏ ‎law‏ ‎enforcement, ‎these‏ ‎cybercriminals ‎seem‏ ‎to ‎be‏ ‎on‏ ‎an ‎unstoppable‏ ‎roll.

Now, ‎let’s ‎talk ‎money, ‎because,‏ ‎at ‎the‏ ‎end‏ ‎of ‎the ‎day,‏ ‎that’s ‎what‏ ‎it’s ‎all ‎about, ‎right?‏ ‎The‏ ‎average ‎enterprise‏ ‎ransom ‎payment‏ ‎soared ‎to ‎over ‎$100,000, ‎with‏ ‎demands‏ ‎averaging ‎a‏ ‎cool ‎$5.3‏ ‎million. ‎But ‎here’s ‎the ‎kicker:‏ ‎80%‏ ‎of‏ ‎organizations ‎have‏ ‎a ‎«Do-Not-Pay»‏ ‎policy, ‎and‏ ‎yet,‏ ‎41% ‎ended‏ ‎up ‎paying ‎the ‎ransom ‎last‏ ‎year. ‎It’s‏ ‎like‏ ‎saying ‎you’re ‎on‏ ‎a ‎diet‏ ‎but ‎then ‎eating ‎a‏ ‎whole‏ ‎cake ‎because‏ ‎it ‎looked‏ ‎at ‎you ‎funny.

And ‎for ‎those‏ ‎thinking‏ ‎insurance ‎might‏ ‎save ‎the‏ ‎day, ‎think ‎again. ‎A ‎whopping‏ ‎77%‏ ‎of‏ ‎organizations ‎found‏ ‎out ‎the‏ ‎hard ‎way‏ ‎that‏ ‎ransomware ‎is‏ ‎the ‎party ‎crasher ‎not ‎covered‏ ‎by ‎their‏ ‎security‏ ‎insurance. ‎It’s ‎like‏ ‎showing ‎up‏ ‎to ‎a ‎hurricane ‎with‏ ‎an‏ ‎umbrella.

With ‎Ransomware‏ ‎as ‎a‏ ‎Service ‎(RaaS) ‎making ‎it ‎easier‏ ‎for‏ ‎any ‎wannabe‏ ‎cybercriminal ‎to‏ ‎join ‎the ‎fun, ‎we ‎can‏ ‎only‏ ‎expect‏ ‎more ‎chaos,‏ ‎more ‎victims,‏ ‎and ‎more‏ ‎snarky‏ ‎retellings ‎like‏ ‎this ‎one. ‎So, ‎here’s ‎to‏ ‎2023, ‎a‏ ‎year‏ ‎that ‎will ‎be‏ ‎remembered ‎not‏ ‎for ‎technological ‎breakthroughs ‎or‏ ‎cyber‏ ‎defense ‎victories,‏ ‎but ‎for‏ ‎the ‎sheer ‎audacity ‎and ‎success‏ ‎of‏ ‎ransomware ‎groups.‏ ‎May ‎2024‏ ‎be ‎a ‎bit ‎less… ‎successful‏ ‎for‏ ‎them.


Unpacking‏ ‎in ‎more‏ ‎detail

Читать: 4+ мин
logo Хроники кибер-безопасника

Lock Bit и конфиденциальные данные, украденные из больницы в Каннах во Франции

📌LockBit ‎является‏ ‎самой ‎опасной ‎программой-вымогателем ‎в ‎мире‏ ‎и ‎несет‏ ‎ответственность‏ ‎за ‎значительное ‎количество‏ ‎атак ‎во‏ ‎Франции ‎в ‎период ‎с‏ ‎апреля‏ ‎2022 ‎по‏ ‎март ‎2023‏ ‎года.

📌За ‎этот ‎период ‎на ‎LockBit‏ ‎пришлось‏ ‎57% ‎известных‏ ‎атак ‎во‏ ‎Франции, ‎что ‎значительно ‎выше, ‎чем‏ ‎на‏ ‎его‏ ‎ближайшего ‎конкурента,‏ ‎ALPHV.

📌Количество ‎ежемесячных‏ ‎атак ‎во‏ ‎Франции‏ ‎было ‎крайне‏ ‎нестабильным, ‎и ‎большая ‎часть ‎этой‏ ‎волатильности ‎приходилась‏ ‎на‏ ‎LockBit.

📌Французская ‎экономика ‎достаточно‏ ‎велика, ‎чтобы‏ ‎стать ‎благодатной ‎почвой ‎для‏ ‎киберпреступников,‏ ‎и ‎вполне‏ ‎возможно, ‎что‏ ‎некоторые ‎из ‎филиалов ‎LockBit ‎решили‏ ‎специализироваться‏ ‎на ‎атаках‏ ‎на ‎французские‏ ‎объекты.

📌В ‎июле ‎2022 ‎года ‎оператор‏ ‎мобильной‏ ‎связи‏ ‎La ‎Poste‏ ‎Mobile, ‎принадлежащий‏ ‎французской ‎почтовой‏ ‎компании‏ ‎La ‎Poste,‏ ‎подвергся ‎атаке ‎программы-вымогателя ‎LockBit, ‎в‏ ‎результате ‎которой‏ ‎была‏ ‎опубликована ‎личная ‎информация‏ ‎более ‎полутора‏ ‎миллионов ‎человек ‎во ‎Франции.

📌В‏ ‎августе‏ ‎2022 ‎года‏ ‎злоумышленники ‎потребовали‏ ‎10 ‎миллионов ‎долларов ‎после ‎атаки‏ ‎программы-вымогателя‏ ‎на ‎Center‏ ‎Hospitalier ‎Sud‏ ‎Francilien ‎(CHSF), ‎больницу ‎на ‎1000‏ ‎коек‏ ‎недалеко‏ ‎от ‎Парижа,‏ ‎что ‎привело‏ ‎к ‎сбоям‏ ‎в‏ ‎работе ‎компьютерных‏ ‎систем ‎и ‎привело ‎к ‎тому,‏ ‎что ‎пациентов‏ ‎пришлось‏ ‎отправлять ‎в ‎другое‏ ‎место, ‎а‏ ‎операции ‎были ‎отложены.

📌В ‎середине‏ ‎ноября‏ ‎2022 ‎года‏ ‎французская ‎оборонная‏ ‎и ‎технологическая ‎группа ‎Thales ‎подтвердила‏ ‎утечку‏ ‎данных, ‎повлиявшую‏ ‎на ‎контракты‏ ‎и ‎партнерские ‎отношения ‎в ‎Малайзии‏ ‎и‏ ‎Италии,‏ ‎при ‎этом‏ ‎злоумышленники ‎использовали‏ ‎программу-вымогатель ‎LockBit.

📌В‏ ‎период‏ ‎с ‎апреля‏ ‎2022 ‎по ‎март ‎2023 ‎года‏ ‎Франция ‎занимала‏ ‎пятое‏ ‎место ‎в ‎мире‏ ‎по ‎числу‏ ‎нападений, ‎причем ‎государственный ‎сектор‏ ‎подвергался‏ ‎нападениям ‎чаще,‏ ‎чем ‎в‏ ‎аналогичных ‎странах.

📌Причины ‎доминирования ‎LockBit ‎во‏ ‎Франции‏ ‎неясны, ‎но‏ ‎это ‎может‏ ‎быть ‎связано ‎со ‎способностью ‎группы‏ ‎использовать‏ ‎возможности‏ ‎за ‎пределами‏ ‎Англосферы ‎и‏ ‎возможностью ‎того,‏ ‎что‏ ‎некоторые ‎из‏ ‎ее ‎филиалов ‎специализировались ‎на ‎атаках‏ ‎на ‎французские‏ ‎объекты.

📌LockBit‏ ‎работает ‎по ‎модели‏ ‎«Программа-вымогатель ‎как‏ ‎услуга» ‎(RaaS), ‎при ‎этом‏ ‎атаки‏ ‎осуществляются ‎независимыми‏ ‎преступными ‎группировками,‏ ‎называемыми ‎«аффилированными ‎лицами», ‎которые ‎платят‏ ‎банде‏ ‎LockBit ‎20%‏ ‎от ‎получаемого‏ ‎ими ‎выкупа.

📌Истинное ‎количество ‎атак ‎LockBit,‏ ‎вероятно,‏ ‎намного‏ ‎превышает ‎количество‏ ‎известных ‎атак,‏ ‎поскольку ‎многие‏ ‎жертвы‏ ‎предпочитают ‎заплатить‏ ‎выкуп, ‎а ‎не ‎рисковать ‎публикацией‏ ‎своих ‎данных‏ ‎в‏ ‎даркнете.

📌LockBit ‎был ‎связан‏ ‎с ‎атаками‏ ‎на ‎больницы, ‎правительства ‎и‏ ‎предприятия‏ ‎по ‎всему‏ ‎миру, ‎которые‏ ‎нанесли ‎значительный ‎ущерб ‎тысячам ‎жертв.

📌Правоохранительные‏ ‎органы‏ ‎работают ‎над‏ ‎пресечением ‎деятельности‏ ‎LockBit, ‎и ‎несколько ‎человек, ‎предположительно‏ ‎связанных‏ ‎с‏ ‎бандой, ‎были‏ ‎арестованы ‎в‏ ‎Украине ‎и‏ ‎Польше.

📌Несмотря‏ ‎на ‎эти‏ ‎усилия, ‎LockBit ‎продолжает ‎действовать ‎и‏ ‎совершать ‎нападения,‏ ‎а‏ ‎предполагаемый ‎лидер ‎группы‏ ‎клянется ‎продолжать‏ ‎свою ‎деятельность.

📌Государственный ‎департамент ‎США‏ ‎объявил‏ ‎о ‎денежном‏ ‎вознаграждении ‎в‏ ‎размере ‎до ‎15 ‎миллионов ‎долларов‏ ‎за‏ ‎информацию, ‎которая‏ ‎может ‎привести‏ ‎к ‎выявлению ‎ключевых ‎лидеров ‎группы‏ ‎вымогателей‏ ‎LockBit‏ ‎и ‎аресту‏ ‎любого ‎лица,‏ ‎участвующего ‎в‏ ‎операции.

📌С‏ ‎января ‎2020‏ ‎года ‎злоумышленники ‎LockBit ‎совершили ‎более‏ ‎2000 ‎атак‏ ‎на‏ ‎жертв ‎в ‎Соединенных‏ ‎Штатах ‎и‏ ‎по ‎всему ‎миру, ‎что‏ ‎привело‏ ‎к ‎дорогостоящим‏ ‎сбоям ‎в‏ ‎работе ‎и ‎уничтожению ‎или ‎утечке‏ ‎конфиденциальной‏ ‎информации.

📌Было ‎выплачено‏ ‎более ‎144‏ ‎миллионов ‎долларов ‎в ‎качестве ‎выкупа‏ ‎за‏ ‎восстановление‏ ‎после ‎событий,‏ ‎связанных ‎с‏ ‎программой-вымогателем ‎LockBit.

📌В‏ ‎ответ‏ ‎на ‎требование‏ ‎о ‎выкупе ‎CHC-SV ‎заявила: ‎«Государственные‏ ‎учреждения ‎здравоохранения‏ ‎никогда‏ ‎не ‎платят ‎выкуп‏ ‎перед ‎лицом‏ ‎атак ‎такого ‎типа».

📌Больница ‎также‏ ‎пообещала‏ ‎уведомить ‎пациентов‏ ‎и ‎заинтересованные‏ ‎стороны, ‎если ‎банда ‎вымогателей ‎решит‏ ‎опубликовать‏ ‎какие-либо ‎украденные‏ ‎данные.

📌На ‎момент‏ ‎подготовки ‎настоящего ‎отчета ‎от ‎Каннской‏ ‎больницы‏ ‎не‏ ‎поступало ‎никаких‏ ‎заявлений ‎относительно‏ ‎якобы ‎опубликованных‏ ‎данных.

Читать: 3+ мин
logo Хроники кибер-безопасника

BianLian

Программа-вымогатель ‎BianLian‏ ‎продемонстрировала ‎замечательную ‎способность ‎адаптироваться ‎и‏ ‎эволюционировать ‎быстрее,‏ ‎чем‏ ‎хамелеон ‎на ‎дискотеке.‏ ‎Изначально ‎это‏ ‎был ‎банковский ‎троян ‎для‏ ‎Android,‏ ‎но ‎в‏ ‎июле ‎2022‏ ‎года ‎было ‎принято ‎решение ‎следовать‏ ‎за‏ ‎модными ‎тенденциями‏ ‎в ‎кибер‏ ‎мире ‎он ‎раскрыть ‎себя ‎с‏ ‎новой‏ ‎стороны‏ ‎как ‎программа-вымогатель,‏ ‎просто ‎потому‏ ‎что ‎это‏ ‎прибыльнее?

BianLian‏ ‎атакует ‎практически‏ ‎всех ‎от ‎сферы ‎здравоохранения ‎и‏ ‎образования ‎до‏ ‎государственных‏ ‎структур, ‎потому ‎что‏ ‎разнообразие ‎является‏ ‎ключевым ‎фактором ‎в ‎мире‏ ‎киберпреступности,‏ ‎а ‎жертвы‏ ‎— ‎это‏ ‎шведский ‎стол.

После ‎того, ‎как ‎Avast‏ ‎выпустила‏ ‎дешифратор, ‎компания‏ ‎BianLian ‎отказалась‏ ‎от ‎своих ‎программ ‎для ‎шифрования‏ ‎и‏ ‎теперь‏ ‎они ‎сосредоточены‏ ‎на ‎утечке‏ ‎данных, ‎угрожая‏ ‎выдать‏ ‎ваши ‎секреты,‏ ‎если ‎вы ‎не ‎заплатите ‎в‏ ‎стиле ‎«Я‏ ‎знаю,‏ ‎что ‎вы ‎сделали‏ ‎прошлым ‎летом».

-------

В‏ ‎этом ‎документе ‎представлен ‎анализ‏ ‎программы-вымогателя‏ ‎Bian ‎Lian‏ ‎и ‎охватывает‏ ‎множество ‎аспектов ‎программы-вымогателя, ‎включая ‎её‏ ‎оперативную‏ ‎тактику, ‎технические‏ ‎характеристики ‎и‏ ‎последствия ‎её ‎деятельности ‎для ‎кибербезопасности.

Анализ‏ ‎BianLian‏ ‎полезен‏ ‎специалистам ‎по‏ ‎безопасности, ‎ИТ-персоналу‏ ‎и ‎организациям‏ ‎в‏ ‎различных ‎отраслях.‏ ‎Он ‎даёт ‎им ‎знания, ‎необходимые‏ ‎для ‎понимания‏ ‎ландшафта‏ ‎угроз, ‎прогнозирования ‎потенциальных‏ ‎векторов ‎атак‏ ‎и ‎внедрения ‎надёжных ‎механизмов‏ ‎безопасности‏ ‎для ‎снижения‏ ‎рисков, ‎связанных‏ ‎с ‎атаками ‎программ-вымогателей.


Подробный ‎разбор


Читать: 2+ мин
logo Snarky Security

Change Healthcare / UnitedHealth Group under ransomware attack

Change ‎Healthcare,‏ ‎a ‎major ‎player ‎in ‎the‏ ‎U.S. ‎healthcare‏ ‎technology‏ ‎sector, ‎has ‎been‏ ‎grappling ‎with‏ ‎significant ‎cybersecurity ‎challenges ‎following‏ ‎a‏ ‎ransomware ‎attack‏ ‎attributed ‎to‏ ‎the ‎BlackCat/ALPHV ‎group:

📌Initial ‎Attack ‎and‏ ‎Ransom‏ ‎Payment: Change ‎Healthcare‏ ‎experienced ‎a‏ ‎disruptive ‎cyberattack ‎on ‎February ‎21,‏ ‎2024,‏ ‎which‏ ‎led ‎to‏ ‎widespread ‎operational‏ ‎challenges ‎across‏ ‎the‏ ‎U.S. ‎healthcare‏ ‎system. ‎The ‎company, ‎a ‎subsidiary‏ ‎of ‎UnitedHealth‏ ‎Group,‏ ‎ultimately ‎paid ‎a‏ ‎ransom ‎of‏ ‎$22 ‎million ‎to ‎the‏ ‎BlackCat/ALPHV‏ ‎ransomware ‎gang‏ ‎in ‎hopes‏ ‎of ‎restoring ‎their ‎services ‎and‏ ‎securing‏ ‎patient ‎data

📌Subsequent‏ ‎Extortion ‎Attempts:‏ ‎Despite ‎the ‎initial ‎ransom ‎payment,‏ ‎Change‏ ‎Healthcare‏ ‎faced ‎further‏ ‎extortion ‎from‏ ‎a ‎new‏ ‎ransomware‏ ‎group ‎named‏ ‎RansomHub. ‎This ‎group ‎claimed ‎to‏ ‎possess ‎four‏ ‎terabytes‏ ‎of ‎data ‎stolen‏ ‎during ‎the‏ ‎initial ‎BlackCat/ALPHV ‎attack ‎and‏ ‎demanded‏ ‎their ‎own‏ ‎ransom, ‎threatening‏ ‎to ‎sell ‎the ‎information ‎on‏ ‎the‏ ‎dark ‎web‏ ‎if ‎their‏ ‎demands ‎were ‎not ‎met

📌Impact ‎on‏ ‎Healthcare‏ ‎Services: The‏ ‎cyberattack ‎severely‏ ‎impacted ‎Change‏ ‎Healthcare’s ‎operations,‏ ‎affecting‏ ‎hospitals' ‎ability‏ ‎to ‎check ‎insurance ‎benefits, ‎process‏ ‎patient ‎procedures,‏ ‎and‏ ‎handle ‎billing. ‎Pharmacies‏ ‎also ‎struggled‏ ‎with ‎prescription ‎charges ‎due‏ ‎to‏ ‎inaccessible ‎insurance‏ ‎information, ‎significantly‏ ‎disrupting ‎patient ‎care ‎and ‎financial‏ ‎operations‏ ‎across ‎healthcare‏ ‎providers

📌Ongoing ‎Data‏ ‎Breach ‎Concerns: There ‎are ‎ongoing ‎concerns‏ ‎about‏ ‎the‏ ‎security ‎of‏ ‎patient ‎data‏ ‎handled ‎by‏ ‎Change‏ ‎Healthcare. ‎The‏ ‎company ‎has ‎not ‎confirmed ‎whether‏ ‎patient ‎data‏ ‎was‏ ‎indeed ‎stolen, ‎but‏ ‎the ‎potential‏ ‎for ‎sensitive ‎information ‎being‏ ‎compromised‏ ‎remains ‎a‏ ‎critical ‎issue.

📌Government‏ ‎and ‎Industry ‎Response: ‎In ‎response‏ ‎to‏ ‎the ‎severity‏ ‎of ‎the‏ ‎attack ‎and ‎its ‎implications, ‎the‏ ‎U.S.‏ ‎Department‏ ‎of ‎State‏ ‎has ‎offered‏ ‎a ‎$10‏ ‎million‏ ‎reward ‎for‏ ‎information ‎leading ‎to ‎the ‎identification‏ ‎or ‎location‏ ‎of‏ ‎the ‎members ‎of‏ ‎the ‎ALPHV/BlackCat‏ ‎gang.

📌Long-term ‎Implications: ‎The ‎attack‏ ‎on‏ ‎Change ‎Healthcare‏ ‎highlights ‎the‏ ‎broader ‎vulnerabilities ‎within ‎the ‎healthcare‏ ‎sector‏ ‎to ‎ransomware‏ ‎attacks

Читать: 2+ мин
logo Хроники кибер-безопасника

AlphV

Какую ‎драматическую‏ ‎кибер-мыльную ‎оперу ‎мы ‎наблюдали ‎с‏ ‎группой ‎вымогателей‏ ‎Alpha.‏ ‎Это ‎похоже ‎на‏ ‎цифровую ‎игру‏ ‎«ударь ‎крота», ‎когда ‎ФБР‏ ‎и‏ ‎его ‎друзья‏ ‎размахивают ‎молотом‏ ‎правосудия, ‎а ‎мошенники-вымогатели ‎выскакивают ‎с‏ ‎дерзким‏ ‎баннером ‎«unseized».‏ ‎Первоначальный ‎успех‏ ‎ФБР ‎был ‎прерван, ‎когда ‎вновь‏ ‎появился‏ ‎сайт‏ ‎AlphV, ‎на‏ ‎котором ‎теперь‏ ‎таинственным ‎образом‏ ‎отсутствовали‏ ‎какие-либо ‎компрометирующие‏ ‎списки ‎жертв. ‎Сможет ‎ли ‎ФБР‏ ‎наконец ‎поймать‏ ‎Черную‏ ‎кошку ‎за ‎хвост‏ ‎в ‎киберпространстве,‏ ‎или ‎эти ‎цифровые ‎головорезы‏ ‎снова‏ ‎ускользнут ‎от‏ ‎нас? ‎Оставайтесь‏ ‎с ‎нами ‎до ‎следующего ‎эпизода‏ ‎«Федералы‏ ‎против ‎Преступники:‏ ‎Кибер-хроники.»

-------

В ‎документе‏ ‎представлен ‎анализ ‎ситуации ‎вокруг ‎AlphaV‏ ‎(программы-вымогатели),‏ ‎связанного‏ ‎с ‎группой‏ ‎BlackCat, ‎который‏ ‎охватывает ‎технические‏ ‎детали‏ ‎программы-вымогателя, ‎включая‏ ‎её ‎механизмы ‎шифрования, ‎векторы ‎начального‏ ‎доступа, ‎методы‏ ‎бокового‏ ‎перемещения ‎и ‎методы‏ ‎эксфильтрации ‎данных.

Выводы,‏ ‎полученные ‎в ‎результате ‎этого‏ ‎анализа,‏ ‎важны ‎для‏ ‎практиков ‎кибербезопасности,‏ ‎ИТ-специалистов ‎и ‎политиков. ‎Понимание ‎особенностей‏ ‎программ-вымогателей‏ ‎AlphV/BlackCat ‎позволяет‏ ‎разрабатывать ‎более‏ ‎эффективные ‎механизмы ‎защиты, ‎совершенствовать ‎стратегии‏ ‎реагирования‏ ‎на‏ ‎инциденты.


Подробный ‎разбор



Читать: 2+ мин
logo Хроники кибер-безопасника

Ransomware Q4

В ‎ушедшем‏ ‎2023 ‎году ‎у ‎ransomware-групп ‎был‏ ‎знаменательный ‎год,‏ ‎когда‏ ‎они ‎действительно ‎превзошли‏ ‎самих ‎себя‏ ‎в ‎том. ‎LockBit ‎3.0‏ ‎завоевал‏ ‎золото ‎на‏ ‎хакерской ‎олимпиаде,‏ ‎за ‎ним ‎последовали ‎отважные ‎новички‏ ‎Clop‏ ‎и ‎ALPHV/BlackCat.‏ ‎По-видимому, ‎48%‏ ‎организаций ‎почувствовали ‎себя ‎обделёнными ‎вниманием‏ ‎и‏ ‎решили‏ ‎принять ‎участие‏ ‎в ‎кибератаках.

Бизнес-сервисы‏ ‎получили ‎награду‏ ‎в‏ ‎номинации ‎«наиболее‏ ‎подверженные ‎цифровому ‎взлому», ‎а ‎образование‏ ‎и ‎розничная‏ ‎торговля‏ ‎последовали ‎за ‎ними‏ ‎по ‎пятам.

Хакеры‏ ‎расширили ‎свой ‎репертуар, ‎перейдя‏ ‎от‏ ‎скучного ‎старого‏ ‎шифрования ‎к‏ ‎гораздо ‎более ‎захватывающему ‎миру ‎вымогательства.‏ ‎США,‏ ‎Великобритания ‎и‏ ‎Канада ‎заняли‏ ‎первое ‎место ‎в ‎категории ‎«страны,‏ ‎которые,‏ ‎скорее‏ ‎всего, ‎заплатят».

Биткоины‏ ‎были ‎предпочтительной‏ ‎валютой, ‎хотя‏ ‎некоторые‏ ‎стали ‎поглядывать‏ ‎в ‎сторону ‎Monero. ‎Некоторые ‎организации‏ ‎пытались ‎сэкономить‏ ‎на‏ ‎выкупе, ‎заплатив ‎только‏ ‎37%. ‎Тем,‏ ‎кто ‎все-таки ‎раскошелился, ‎пришлось‏ ‎изрядно‏ ‎попотеть, ‎и‏ ‎средний ‎размер‏ ‎выплат ‎достиг ‎$408 ‎643. ‎Кибер-преступность‏ ‎действительно‏ ‎окупается!


Подробный ‎разбор

Читать: 3+ мин
logo Хроники кибер-безопасника

Ransomware Q3

Давайте ‎поднимем‏ ‎наши ‎бокалы ‎за ‎2023 ‎год,‏ ‎год, ‎когда‏ ‎программы-вымогатели‏ ‎устроили ‎безбашенную ‎вечеринку,‏ ‎разбивав ‎рекорды‏ ‎как ‎дешёвые ‎бокалы ‎для‏ ‎шампанского.‏ ‎С ‎ошеломляющими‏ ‎4368 ‎жертвами,‏ ‎пойманными ‎в ‎их ‎цифровые ‎сети,‏ ‎этим‏ ‎киберпреступникам ‎удалось‏ ‎превзойти ‎самих‏ ‎себя ‎по ‎эффективности ‎на ‎55,5%‏ ‎по‏ ‎сравнению‏ ‎с ‎предыдущим‏ ‎годом.

Главные ‎герои‏ ‎— ‎LockBit3.0,‏ ‎ALPHV‏ ‎и ‎Cl0p,‏ ‎которые ‎во ‎втором ‎квартале ‎скомпрометировали‏ ‎1386 ‎жертв‏ ‎по‏ ‎всему ‎миру. ‎Поскольку‏ ‎программа-вымогатель ‎как‏ ‎услуга ‎(RaaS) ‎облегчает ‎любому‏ ‎киберпреступнику‏ ‎участие ‎в‏ ‎кибер-активностях, ‎можно‏ ‎большего ‎числа ‎жертв ‎и ‎связанных‏ ‎с‏ ‎ними ‎историй.‏ ‎И ‎несмотря‏ ‎на ‎доблестные ‎усилия ‎правоохранительных ‎органов‏ ‎по‏ ‎всему‏ ‎миру, ‎этих‏ ‎киберпреступников, ‎похоже,‏ ‎невозможно ‎остановить.

Теперь‏ ‎давайте‏ ‎поговорим ‎о‏ ‎деньгах, ‎потому ‎что, ‎в ‎конце‏ ‎концов, ‎именно‏ ‎в‏ ‎этом ‎все ‎дело,‏ ‎верно? ‎Средняя‏ ‎сумма ‎выкупа ‎для ‎предприятия‏ ‎выросла‏ ‎до ‎более‏ ‎чем ‎100‏ ‎000 ‎долларов, ‎при ‎этом ‎требования‏ ‎в‏ ‎среднем ‎составляли‏ ‎крутые ‎5,3‏ ‎миллиона ‎долларов. ‎Но ‎вот ‎в‏ ‎чем‏ ‎загвоздка:‏ ‎80% ‎организаций‏ ‎придерживаются ‎политики‏ ‎«Не ‎платить»,‏ ‎и‏ ‎все ‎же‏ ‎в ‎прошлом ‎году ‎41% ‎в‏ ‎итоге ‎заплатили‏ ‎выкуп.

И‏ ‎для ‎тех, ‎кто‏ ‎думает, ‎что‏ ‎страховка ‎может ‎спасти ‎положение,‏ ‎подумайте‏ ‎ещё ‎раз.‏ ‎77% ‎организаций‏ ‎на ‎собственном ‎горьком ‎опыте ‎убедились,‏ ‎что‏ ‎программы-вымогатели ‎—‏ ‎это ‎те,‏ ‎кто ‎нарушает ‎правила ‎безопасности, ‎не‏ ‎покрываемые‏ ‎их‏ ‎страховкой. ‎Это‏ ‎все ‎равно,‏ ‎что ‎выйти‏ ‎навстречу‏ ‎урагану ‎с‏ ‎зонтиком.

Итак, ‎выпьем ‎за ‎2023 ‎год,‏ ‎год, ‎который‏ ‎запомнится‏ ‎не ‎технологическими ‎прорывами‏ ‎или ‎победами‏ ‎в ‎киберзащите, ‎а ‎успехом‏ ‎ransomware.‏ ‎Пусть ‎2024‏ ‎год ‎принесёт‏ ‎больше ‎историй ‎для ‎обсуждения.

Подробный ‎разбор

Подарить подписку

Будет создан код, который позволит адресату получить бесплатный для него доступ на определённый уровень подписки.

Оплата за этого пользователя будет списываться с вашей карты вплоть до отмены подписки. Код может быть показан на экране или отправлен по почте вместе с инструкцией.

Будет создан код, который позволит адресату получить сумму на баланс.

Разово будет списана указанная сумма и зачислена на баланс пользователя, воспользовавшегося данным промокодом.

Добавить карту
0/2048