Издание Bleeping Computer сообщает о необычной хакерской кампании, развернутой в этом месяце.
На прошлой неделе ИБ-специалист, известный под псевдонимом GrujaRS, первым заметил появление не совсем обычного шифровальщика MilkmanVictory. Как оказалось, эту малварь создали хакеры из группы CyberWare, и основной задачей данного вредоноса является не вымогательство выкупа за расшифровку данных, как это бывает обычно, а уничтожение информации. Дело в том, что шифровальщик был создан для атак против мошенников.
This is a ransomware i made to send to scammers.
— CyberWare (@LiteMods) May 16, 2020
MAY I ASK WHY YOU ARE MAKING THINGS ABOUT ANTI-SCAMMER RANSOMWRE
Представители группировки CyberWare сначала заявили о себе в Twitter, а потом согласились ответить на вопросы журналистов Bleeping Computer. Хак-группа объясняет, что основной целью их кампании являются фирмы, занимающиеся так называемым кредитным мошенничеством.
«Жертвы рассказывают, что им обещали дать кредит, но оказалось, что сначала нужно было заплатить [мошенникам], чтобы в итоге не получить ничего», — говорят хакеры.
В частности группировка атаковала немецкую компанию Lajunen Loan, чей сайт в настоящее время недоступен. Участники CyberWare обрушили DDoS-атаку на ресурс, а также направили на адреса компании фишинговые письма, несущие заражение MilkmanVictory. Эти послания содержат ссылки на вредоносные исполняемые файлы, замаскированные под файлы PDF.
Шифровальщик MilkmanVictory был задуман как вайпер (wiper, от английского to wipe — «стирать»). То есть эта малварь умышленно не сохраняет ключ шифрования и не предлагает пострадавшим связаться с хакерами для оплаты выкупа. Вместо этого послание, которое оставляет после себя малварь, гласит:
«Здравствуйте! Этот компьютер был уничтожен шифровальщиком MilkmanVictory, потому что мы знаем, что вы мошенник! Хакеры CyberWare :-)».
В CyberWare подчеркнули, что они не вымогают у скамеров деньги, так как мошенники, ворующие средства у невинных людей, подобного не заслуживают.
Журналисты Bleeping Computer отмечают, что MilkmanVictory был построен на основе известного опенсорсного шифровальщика Hidden Tear, который давно изучен ИБ-экспертами. Это означает, что даже если ключ шифрования не был сохранен, пострадавшие данные все равно можно восстановить. К примеру, для этого можно использовать бесплатный инструмент Hidden Tear Decryptor, созданный известным ИБ-экспертом Майклом Гиллеспи.