Rose debug info
---------------

Блог компании Антифишинг

как поведение людей влияет на безопасность

ДайджестыСтатьиСписок постов

Антифишинг-дайджест № 217 с 9 по 15 апреля 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена киберкампания, в ходе которой преступники атакуют уязвимые серверы Microsoft Exchange и устанавливают на них ПО для майнинга криптовалюты Monero, используя уязвимости ProxyLogon.

Схема кампании:

1. Используя уязвимость ProxyLogon, злоумышленники проникают на сервер и запускают PowerShell-команду, которая загружает файл через скомпрометированный Outlook Web Acces.

2. Этот файл имеет расширение zip, однако представляет собой обычный bat-файл, который с помощью системной утилиты certutil загружает исполняемую полезную нагрузку для установки майнера Monero, которая состоит из двух файлов, закодированных в base64.

3. Один из этих файлов представляет собой собственно майнер, а второй — вполне легальную утилиту PEx64-Injector, доступную на GitHub. Она позволяет внедрить исполняемый файл x64 в память любого процесса.

4. Именно эту операцию и выполняет bat-файл, внедряя майнер в память одного из системных процессов на скомпрометированном сервере. После этого все следы установки уничтожаются, а собственно майнинг происходит в памяти, также не оставляя следов.

В рамках очередной вредоносной кампании злоумышленники используют контактные формы на легитимных сайтах для распространения вредоносного ПО IcedID.

Схема кампании

1. Преступники с помощью автоматических скриптов находят сайты легитимных компаний с формами для обратной связью и заполняют их фиктивными юридическими угрозами.

2. После отправки формы она поступает к сотруднику компании в виде электронного письма. Поскольку письма приходят с сайта компании, в которой работает жертва, у неё не возникает подозрений о возможной кибератаке.

3. В тексте письма получателям предлагается перейти по ссылке для просмотра предполагаемых свидетельств, лежащих в основе их обвинений.

4. Нажав на ссылку, жертва попадает на страницу авторизации Google, где от него требуется войти в систему со своими учетными данными. Из-за добавленного уровня аутентификации системы защиты могут вообще не идентифицировать такое письмо как вредоносное.

5. После авторизации в учётной записи Google страница sites.google.com автоматически загружает на компьютер жертвы вредоносный ZIP-архив с файлом .js.

6. Вредоносный файл выполняется через WScript для создания объекта оболочки, запуска PowerShell-скрипта и загрузки вредоноса IcedID в виде файла .dat, который расшифровывается DLL-загрузчиком и позволяет злоумышленникам удаленно управлять компьютером.

Авторы очередной фишинговой кампании, ориентированной на кражу учетных данных пользователей Microsoft 365 используют новый трюк для обхода почтовых фильтров. Они разделили HTML-код фальшивой страницы на фрагменты, которые собираются воедино с помощью JavaScript-сценария, размещённого на бесплатном ресурсе.

Схема кампании:

1. Жертва получает письмо без текста с темой «price revision» — «пересмотр цен». К письму прикреплен файл с именем «hercus-Investment|547183-xlsx.H?t|m?|», содержащим недопустимые символы.

2. Файл представляет собой документ HTML, имитирующий таблицу Excel. Документ содержит небольшой фрагмент HTML-кода и зашифрованный текст с двумя ссылками на сценарии, размещённые на сайте yourjavascript.com.

3. Сценарии помимо JavaScript-кода содержат фрагменты html-разметки, после сборки которой жертва получает фишинговую форму для авторизации в учётной записи Microsoft.

4. Мошенническая страница автоматически подставляет е-мейл жертвы и проверяет его на корректность, а также производит валидацию пароля.

5. Как и во всех подобных кампаниях, введённые учётные данные попадают к мошенникам и используются для вредоносной деятельности.

Атаки и уязвимости

Новый вариант Rowhammer позволяет проводить атаки с использованием JavaScript на современные модули ОЗУ DDR4 в обход всех мер безопасности, принятых производителями электроники за последние семь лет.

Атака, получившая название SMASH ((Synchronized MAny-Sided Hammering, синхронизированная многосторонняя ударная обработка), использует сведения о политиках замены кэша, чтобы создать оптимальные шаблоны доступа для проведения атаки Rowhammer:

Выяснилось, что несмотря на технологию TRR (Target Row Refresh), которая предотвращения искажения рядов ячеек во время атаки Rowhammer, некоторые современные модули DDR4 по-прежнему уязвимы к манипуляциям с битами.

Синхронизируя запросы к памяти с командами обновления DRAM, исследователи разработали сквозной эксплойт на JavaScript, способный скомпрометировать браузер Firefox за 15 минут. Это означает, что вредоносные сайты могут нанести вполне реальный ущерб своим посетителям.

Обнаруженная в WhatsApp уязвимость позволяет удалённо запустить процесс удаления учетной записи мессенджера., причём от этого не защитить даже двухфакторная аутентификация, встроенная в приложение.

Схема атаки:

1. Когда пользователь впервые устанавливает приложение на свой телефон, платформа отправляет SMS-код для проверки учетной записи. Злоумышленник устанавливает приложение на своё устройство, после чего вводит для входа номер телефона жертвы.

2. Жертве на устройство приходит SMS-код для проверки, который нельзя никому сообщать. Пользователь, как правило, игнорирует данное сообщение, а хакер вводит код наугад.

3. WhatsApp ограничивает число неправильных попыток ввода кода верификации, поэтому после нескольких ошибок атакующий получит сообщение о том, что попытки надо повторить спустя 12 часов.

4. В течение этих 12 часов жертва не будет получать проверочные коды. А в это время преступник с нового адреса электронной почты пишет письмо в службу поддержки WhatsApp с просьбой деактивировать аккаунт, поскольку доступ к нему был утерян, и указывает номер жертвы.

5. После этого поддержка блокирует учетную запись. Владелец аккаунта увидит в приложении WhatsApp сообщение о том, что номер телефона больше не работает на данном устройстве, причём это произойдёт даже если у него была включена двухфакторная аутентификация.

Мошенники научились обходить обновлённые процедуры техосмотра транспортных средств, которые по замыслу властей должны были прекратить торговлю диагностическими картами. Оказалось, что фотографии и координаты прибывающих на техосмотр автомобилей, которые с 1 марта передаются в полицейскую базу данных, не защищены и могут быть модифицированы.

Фотографирование авто на пункте ТО — одно из ключевых нововведений реформы процедуры техосмотра, вступившей в силу с 1 марта. Таким образом планировалось устранить мошеннические схемы, когда машина на проверку не приезжает, а диагностическая карта, необходимая для оформления ОСАГО, все равно оформляется.

Снимок, согласно приказу Минтранса №97, должен содержать координаты, совпадающие с расположением пункта ТО. Данные проверяются в тот момент, когда технический эксперт с помощью своей электронной подписи формирует карту в информационной системе техосмотра ЕАИСТО МВД.

Однако используя программу для редактирования EXIF-информации на снимках, можно ввести туда любые координаты, в том числе и совпадающие с пунктом ТО.

Инциденты

В открытом доступе оказалась полная база данных мобильного приложения Elector, использовавшегося для регистрации избирателей на парламентских выборах 2021 года в Израиле.

В дампе содержатся:

  • 🌵 ФИО,
  • 🌵 номер удостоверения личности,
  • 🌵 адрес,
  • 🌵 телефон (не у всех),
  • 🌵 адрес эл. почты (не у всех),
  • 🌵 дата рождения,
  • 🌵 пол.

Из-за атаки шифровальщика на компанию Bakker Logistiek на полках супермаркетов Голландии пропал сыр.

Объявление в одном из супермаркетов, где закончился сыр.

Bakker Logistiek — один из крупнейших поставщиков логистических услуг в Нидерландах, занимающийся хранением и транспортировкой продуктов питания для голландских магазинов. Блокировка шифровальщиком устройств в сети компании привела к коллапсу: заказы от клиентов не поступали, работники складов не могли найти нужные продукты, поскольку это крайне сложно сделать вручную из-за огромной площади помещений. Планирование перевозок также было невозможно, поскольку в компании сотни грузовиков.

О том, какой именно шифровальщик вызвал коллапс, на данный момент неизвестно.

Фармацевтическая компания Pierre Fabre стала жертвой вымогателя REvil. Злоумышленники потребовали выкуп в размере 25 млн долларов США, а когда жертва отказалась платить, увеличили сумму вдвое.

Атака произошла 31 марта 2021 года, и была изолирована в течение cenjr. Однако чтобы вредоносное ПО не распространялось внутри компании, пришлось временно приостановить значительную часть производственных процессов.

Выявив атаку, сотрудники компании ввели в действие план управления рисками. Информационная система Pierre Fabre была переведена в режим ожидания, чтобы не дать вирусу распространяться. Постепенно это остановило большую часть производственных процессов в подразделениях, выпускающих ингредиенты для фармацевтических и косметических продуктов.

 56   1 д   дайджест   фишинг

Антифишинг-дайджест № 216 со 2 по 8 апреля 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Хакерская группировка Molerats использует комбинированный фишинг для распространения вредоносного ПО среди военных на Ближнем Востоке.

Схема кампании

  1. Преступники знакомятся с военными в социальных сетях, выдавая себя за женщин.
  2. Для создания профилей используются фотографии моделей из инстаграм.
  3. Жертв вовлекают в разговоры, которые ведутся с использованием ПО  Morph Vox Pro для изменения голоса на женский (все члены группировки — мужчины).
  4. Когда жертва «разогрета», ей направляется письмо с вредоносным ПО которое она без сомнений устанавливает, предоставляя хакерам доступ к своему компьютеру.

Ещё одна мошенническая кампания ориентирована на безработных пользователей LinkedIn. Преступники заманивают людей несуществующими должностями с высокими окладами, а затем заражают их компьютеры вредоносным ПО.

Схема кампании:

  1. Злоумышленники создают фиктивные предложения работы, используя названия должностей из профилей атакуемых
  2. В предложениях работы содержатся вредоносные файлы или ссылки.
  3. Если жертва открывает такой файл, на её компьютере запустится бесфайловый бэкдор more_eggs, который представляет собой выполняющийся в памяти сценарий для компрометации атакуемого компьютера.
  4. В одном из вариантов «предложений работы» используется вредоносный ZIP-архив, названный именем жертвы, указанным ею в LinkedIn, а также LNK-файл для выполнения.
  5. Предположительно, кампания является частью сервиса «доступ по заказу», в рамках которого хакеры взламывают целевые корпоративные системы, а затем продают доступ третьим лицам или устанавливают вредоносные программы по выбору «клиента».

В рамках ещё одной кампании злоумышленники выманивают учётные данные клиентов банков, предлагая вклады под высокий процент.

Схема кампании:

  1. Жертва по почте, в смс или в мессенджере получает ссылку на фишинговый сайт с комментарием о том, что там можно оформить вклад под выгодный процент. В кредитной организации якобы проводится акция, которой нет на ее официальном сайте,
  2. Сайт замаскирован под легитимный ресурс кредитной организации и выглядит вполне убедительно.
  3. Чтобы оформить выгодный кредит, жертва должна ввести логин и пароль для доступа к онлайн-банку (в некоторых вариантах — полные реквизиты банковской карты).
  4. Введённые сведения попадают к злоумышленникам, которые используют их на своё усмотрение.

Расчет сделан на то, в стремлении получить выгоду жертва не станет проверять информацию и перейдёт по предлагаемой мошенниками ссылке на поддельную страницу и введёт конфиденциальные данные.

Мобильная безопасность

В официальном Google Play Store обнаружено фальшивое приложение FlixOnline. Внедренный в приложение вредонос умеет распространяться, используя встроенные ответы WhatsApp для рассылки сообщений с полезной нагрузкой, полученной с командного сервера.

При установке FlixOnline запрашивает разрешения

  • на вывод своего окна поверх окон других приложений (Overlay) — чтобы воровать учетные данные с помощью поддельных страниц регистрации;
  • на включение в белый список оптимизации батареи (Battery Optimization Ignore) — для непрерывной работы даже во время глубокого сна системы:
  • на доступ к уведомлениям (Notification) — для перехвата входящих сообщений и выполнения ответных действий в соответствии с заданными настройками.

Если источник входящего сообщения WhatsApp, вредонос отменяет уведомление, скрывая его от жертвы, но считывает его заголовок и содержимое, а затем с помощью автоответчика отсылает сообщение с короткой ссылкой, полученной с C2-сервера.

Неизвестные злоумышленники скомпрометировали сервер обновлений немецкого производителя Gigaset и разослали с него вредоносное ПО на устройства некоторых клиентов.

На смартфонах жертв были установлены следующие приложения:

com.yhn4621.ujm0317;
com.yileiya.ayase (Tayase);
com.wagd.xiaoan (xiaoan);
com.wagd.smarter (smart);
com.dolphinstudio.hook;
com.dolphinstudio.taiko;
com.relax.rain;
BBQ Browser;
easenf.

У многих пользователей возникли трудности с удалением этих приложений, так как те снова появлялись на устройствах.

По заявлению Gigaset, инцидент затронул часть пользователей, получавших обновления прошивки с одного конкретного сервера.

Атаки и уязвимости

Разработана атака на компьютеры под управлением macOS через текстовый файл с использованием особенностей работы встроенного редактора TextEdit.

В отличие от Блокнота Windows редактор TextEdit имеет больше функций. Одной из них является обработка HTML-тегов, причём TextEdit обрабатывает их даже если файл имеет расширение TXT.

В результате, используя эту уязвимость, можно:

  • организовать отказ в обслуживании (DoS), например, путём обращения из HTML-кода к файлу /dev/zero, представляющему
  • узнать реальный IP-адрес пользователя, вызвав из TXT-файла AutoFS — штатную программу для монтирования файловой системы, в процессе работы которой ядро системы автоматически посылает TCP-запрос;
  • похитить файлы с компьютера жертвы с помощью тега iframedoc>, который позволяет вставлять в текстовый файл содержимое других файлов.

Поскольку большая часть защитных решений, включая встроенную в macOS Gatekeeper, считает файл TXT вполне доверенным — его можно скачивать и открывать встроенным редактором TextEdit без дополнительных проверок, что создаёт богатые возможности для проведения атак.

В процессорах AMD c архитектурой Zen 3 обнаружена уязвимость, связанная с функцией Predictive Store Forwarding (PSF).

Данная функция связана с упреждающим (или спекулятивным — speculative) механизмом исполнения команд, при котором процессор заранее выполняет несколько альтернативных операций для ускорения работы, а затем отбрасывает ненужные «предсказанные» данные.

PSF может использоваться злоумышленниками для проведения атак по сторонним каналам, например, с помощью использования кода, реализующего какой-либо вид контроля безопасности, который можно обойти, когда механизм предсказания работает некорректно.

Инциденты

На одном из хакерских форумов проданы около 900 тыс. подарочных карт на сумму 38 млн долларов США.

Продавец лота заявил, что в его распоряжении имеется 895 тыс. подарочных карт 3010 компаний, включая Airbnb, Amazon, American Airlines, Chipotle, Dunkin Donuts, Marriott, Nike, Subway, Target и Walmart. База была выставлена на аукцион, где начальная стоимость составила 10 000 долларов, а блиц-цена — 20 000 долларов. Торги завершились быстро, то есть базу кто-то купил.

На RaidForums опубликована ссылка на Google Drive с контентом для взрослых, «слитым» с платформы OnlyFans.

Архив на Google Диске содержал папки 279 авторов площадки OnlyFans, причем в одной из папок было более 10 ГБ видео и фотографий.

У создателей контента, чьи права нарушает эта утечка, есть большая проблема: владельцы контента на OnlyFans должны сообщать о нарушениях авторских прав на каждый отдельный файл, чтобы удалить его с Google Drive. Если утечка затронула много файлов, удаление через такую процедуру может затянуться надолго.

На киберпреступных форумах продаётся база данных людей, которые хотели взять кредит в банке «Дом.РФ». База содержит 104 800 записей.

Первые записи в базе датируются февралем 2020 года, последние — мартом 2021 года. В случае минимального заполнения заявки на кредит запись содержит:

  • сумму потенциального кредита,
  • номер телефона,
  • адрес электронной почты.

Если заявка была заполнена полностью, запись содержит:

  • ФИО,
  • дату рождения,
  • сумму и вид кредита,
  • номер телефона,
  • почтовый ящик,
  • паспортные данные, ИНН, СНИЛС,
  • домашний адрес, адрес места работы,
  • должность, размер дохода,
  • информацию о доверенном лице (ФИО, номер телефона, кем приходится заемщику).

Злоумышленник предлагает купить базу целиком за 100 тыс. рублей, а отдельные строки с данными:

  • за 2021 год — по 15 рублей,
  • за вторую половину 2020 года — по 10 рублей,
  • за первую половину 2020 года — по 7 рублей.

Представитель банка «Дом.РФ» подтвердил факт утечки РБК и сообщил, что она произошла из-за уязвимости в дистанционной подаче первичных заявок на получение кредита наличными.

На хакерском форуме опубликованы данные 533 млн пользователей Facebook. Дамп включает в себя номера телефонов, имена, Facebook ID, email-адреса, информацию о местоположении, поле, дате рождения, работе и другие данные, которые могли содержать профили социальной сети.

Более 32 миллионов пострадавших пользователей располагаются в США, 11 млн — в Великобритании, 10 млн — в России, шесть миллионов — в Индии. В общей сложности затронуты граждане 106 стран.

Данные удалось получить с помощью уязвимости в социальной сети, которая позволяла автоматизированным скриптам собирать данные профилей пользователей, используя функцию «Добавить друга», которая позволяла получить доступ к телефонным номерам.. Она была устранена в августе 2019 года.

 104   8 дн   дайджест   фишинг

Антифишинг-дайджест № 215 с 26 марта по 1 апреля 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена фишинговая кампания против специалистов медицинских исследовательских организаций в США и Израиле, в рамках которой злоумышленники обманом заманивают медицинских экспертов на поддельные сайты, замаскированные под страницы облачного сервиса OneDrive, с целью кражи учетных данных.

Схема атаки:

1. Жертва получает письмо якобы от известного израильского физика с адреса zajfman.daniel[@]gmail.com. В теме сообщения написано: «Ядерное оружие с первого взгляда: Израиль». В тексте письма с помощью приёмов социальной инженерии жертву направляют на ресурс, содержащий сведения о ядерном потенциале Израиля.

2. Кликнув по ссылке в письме, жертва попадает на мошеннический сайт, имитирующий OneDrive. На странице имеется PDF-документ CBP-9075.pdf.

3. Попытавшись загрузить документ, жертва получает подделанный запрос на ввод учётных данных Microsoft.

4. После ввода учётных данных жертву переадресовывают на страницу с документом «Ядерное оружие с первого взгляда: Израиль»

5. Введённые учётные данные попадают к киберпреступникам.

Атаки и уязвимости

Два гражданина Китая с помощью технологии Deepfake обошли государственную биометрическую систему проверки личности ради налогового мошенничества и создания фальшивых счетов.

В стране уже несколько лет используется идентификация личности помощью распознавания лиц, и этот метод аутентификации используется для совершения розничных транзакций и для доступа к государственным услугам.

Как сообщает издание Синьхуа, чтобы обойти биометрическую проверку, понадобилось фото высокого разрешения и приложение, которое превращает фотографии в видео. Приложение обрабатывает фото таким образом, чтобы картинка «двигалась», создавая видео с  нужными действиями, включая кивание, качание головой, моргание и открывание рта. Полученную фальшивку обвиняемые залили на специально подготовленный смартфон с «захваченной камерой, и использовали фейк для обхода проверок и аутентификации по лицу.

Войдя в систему, мошенники выставляли фальшивые счета от имени подставной компании, надеясь, подлог не заметят, и счета будут оплачены. Таких счетов было создано примерно на 500 млн юаней — около 57,5 млн рублей.

Инциденты

Итальянский премиум-бренд мужской одежды Boggi Milano стал жертвой вымогательского ПО.

Представители компании подтвердили факт кибератаки и сообщили, что в настоящее время ведется расследование, подчеркнув, что инцидент не оказал заметного влияния на работу компании.

Киберпреступная группировка Ragnarok, в свою очередь, заявила, что ей удалось похитить 40 ГБ корпоративных данных, в том числе документы из отдела кадров и информация о зарплате сотрудников.

С помощью мошеннического сервиса, маскирующегося под мобильное приложение аппаратного кошелька Trezor, преступники похитили криптовалюту на сумму более 1,6 млн долларов США.

Один из пострадавших нашел приложение в App Store по названию «Trezor». После того, как он ввел данные криптокошелька для проверки баланса, с его счёта списали 17,1 ВТС. На момент хищения их стоимость была около 600 тыс. долларов США, а сегодня они подорожали почти до 1 млн долларов США,

В Apple пояснили, что часто разработчики мошеннических приложений отправляют изначально «безобидные» сервисы на проверку, а затем превращают их в фишинговые.

Фальшивое приложение Trezor попало в App Store обманным путем и изначально позиционировалось как «криптографический» сервис для шифрования файлов и хранения паролей, не связанный с криптовалютами.

В январе 2021 года поставщик облачных IoT-устройств Ubiquiti сообщил о взломе стороннего поставщика облачных услуг, в результате которого были похищены учетные данные его клиентов, однако через некоторое время выяснилось, что компания (https://krebsonsecurity.com/2021/03/whistleblower-ubiquiti-breach-catastrophic/ сильно преуменьшила значение «катастрофического» инцидента с целью минимизировать удар по цене своих акций)), а заявление стороннего поставщика облачных услуг было сфабриковано.

В действительности злоумышленники получили доступ к привилегированным учетным данным, которые ранее хранились в учетной записи LastPass IT-сотрудника Ubiquiti, и получили доступ администратора с правами суперпользователя ко всем учетным записям Ubiquiti AWS, включая все сегменты данных S3, журналы приложений, базы данных, и сведения, необходимые для создания cookie-файлов технологии единого входа (Single sign-on).

Используя эти сведения, злоумышленникам могли удаленно авторизоваться на любых облачных устройствах Ubiquiti по всему миру.

В даркнете выставлены на продажу персональные данные пользователей индийской платежной системы и криптокошелька Mobiwik.

Дамп содержит 8,2 Тб личных данных пользователей Mobikwik и включает в себя имена, номера телефонов, адреса электронной почты, адреса проживания, данные GPS, хэшированные пароли, список установленных приложений, журналы транзакций, номера банковских счетов и части номера платежных карт для 40 млн человек. Продавец оценил базу в 1,2 биткоина — около 70 тыс долларов США.

Продавец базы создал специальный поисковый портал, чтобы любой мог проверить, оказался ли он в числе пострадавших.

В результате атаки вымогательского ПО крупнейший трест лондонских школ Harris Federation был вынужден отключить IT-системы, почтовые серверы и телефонные линии в начальных и средних академиях по всему Лондону.

Инцидент произошел 27 марта 2021 года и является крупнейшей на сегодняшний день атакой программ-вымогателей против британских образовательных организаций. Чтобы предотвратить дальнейшее распространение вымогателя и шифрование данных специалисты школьного треста отключили даже устройства, предоставляемые ученикам, а также превентивно отключили почтовый сервер и телефонные системы треста. Входящие звонки перенаправлены на мобильные устройства.

О том, какое вымогательское ПО использовалось для атаки и как злоумышленники проникли в сеть школы, пока неизвестно.

На хакерском форуме выставлены на продажу данные 7,3 млн автовладельцев и их авто, собранные голландской компанией RDC. Компания предоставляет услуги гаражного хранения и технического обслуживания автомобилей.

В рекламе «лота» указано, что для  2,3 млн записей в базе есть адреса электронной почты, и они могут использоваться для фишинговых атак и рассылки спама.

Представители RDC подтвердили факт утечки, и сообщили, что злоумышленники, похоже, получили доступ примерно к 60% записей клиентов компании.

В образцах дампа содержатся детали, которые позволяют идентифицировать владельцев автомобилей, узнать, где они живут и какие именно авто водят: имена и названия компаний, домашние адреса, адреса электронной почты, номера телефонов, даты рождения, а также регистрационные номера транспортных средств, данные о марках и моделях автомобилей.

Страховая компания CNA подверглась кибератаке с использованием новой разновидности вымогателя Phoenix CryptoLocker. Из-за инцидента компания была вынуждена приостановить работу.

Сообщение о проблемах на сайте CNA.

Проникнув в сеть компании, злоумышленники запустили программу-вымогатель, которая зашифровала 15 тыс. устройств, включая подключенные через VPN компьютеры сотрудников, работающих удаленно. В процессе шифрования вымогатель добавил к зашифрованным файлам расширение .phoenix и создал записку с требованием выкупа PHOENIX-HELP.txt.

Вымогательское сообщение Phoenix CryptoLocker.

Пока неизвестно, были ли похищены в ходе атаки конфиденциальные данные.

 185   15 дн   дайджест   фишинг
Ранее Ctrl + ↓