Исследователи обратили внимание на хакера, или группу хакеров, скрывающихся под псевдонимом Mafia Malware Indonesia. Впервые деятельность группы привлекла внимание экспертов еще в марте 2016 года, когда вымогатель KimcilWare атаковал интернет-магазины, работающие под управлением Magento. Теперь выяснилось, что хакеры ответственны не только за создание KimcilWare, но и других семейств шифровальщиков: MireWare, MafiaWare, CryPy, SADStory и L0CK3R74H4T.
На след злоумышленников исследователей навел email-адрес, на который жертвы KimcilWare должны были написать о выкупе: tuyuljahat@hotmail.com. Оказалось, этот же адрес использует другое семейство шифровальщиков, MireWare, атакующее уже не веб-серверы, а обычные компьютеры, под управлением Windows. В 2016 году исследователи охарактеризовали обе угрозы как junk ransomware, то есть вымогатели были написаны весьма посредственно, содержали заимствования чужого кода (в частности из опенсорсной малвари Hidden Tear), а файлы жертв можно было спасти без особого труда.
Спустя год после этих событий, на прошлой неделе, исследователь MalwareHunter обнаружил еще одно семейство шифровальщиков, SADStory, тоже связанное с данной хакерской группой. Вымогатель SADStory тоже использует адрес tuyuljahat@hotmail.com, а еще он оказался очень похож на другую малварь, обнаруженную «Лабораторией Касперского» в конце 2016 года, шифровальщика CryPy.
Заметив, что их обнаружили, а адрес tuyuljahat@hotmail.com помог специалистам составить полную картину, хакеры не растерялись. Они взяли имя Mafia Malware Indonesia, а также добавили в сообщение с требованием выкупа весь свой «послужной список», назвав себя авторами шифровальщиков MireWare, MafiaWare, CryPy, SADStory и L0CK3R74H4T. Судя по всему, наиболее свежей разработкой группы является малварь MafiaWare, тоже базирующаяся на коде опенсорсного вымогателя Hidden Tear. При этом исследователи пишут, что исходные коды MafiaWare утекли в открытый доступ несколько месяцев назад.
Эксперт MalwareHunter сообщил журналистам Bleeping Computer, что пока пользователей, пострадавших от MafiaWare замечено не было. Похожая картина наблюдается также с шифровальщиками SADStory и L0CK3R74H4T, которые попали в поле зрения исследователей на прошлой неделе. Специалисты уверены, что даже если пострадавшие появятся, справиться с шифрованием малвари не составит труда. По мнению специалистов, навыки участников Mafia Malware Indonesia оставляют желать лучшего, и группировка не способна писать собственную малварь, заимствуя код у других проектов. Более того, группе не удается даже наладить массовое распространение своих «поделок».
Фото: BRYCE DURBIN
