Исследователи предупреждают, что вымогатели начали атаковать свежую уязвимость в WS_FTP Server компании Progress Software. За взломами стоит неизвестная ранее группировка Reichsadler, которая требует у пострадавших выкуп в размере 0,018 биткоина (менее 500 долларов США по текущему курсу).
Аналитики Sophos пишут, что на прошлой неделе ее клиенты стали жертвами хакеров, которые позаимствовали исходники вымогателя LockBit, утечка которых произошла в прошлом году.
По словам исследователей, преступники, стоящие за этой кампанией, скорее всего, неопытны и в конечном итоге их атаки не увенчались успехом. Дело в том, что вымогатель не сработал должным образом и не зашифровал файлы.
Sophos пишет, что ее антивирус смог заблокировать атаку, что и позволило исследователям изучить полезную нагрузку. Компания сообщает, что смогла остановить загрузку пейлоада после срабатывания правила, предназначенного для предотвращения известной тактики атак (MITRE ATT&CK T1071.001).
Тем не менее, подчеркивается, что сервер WS_FTP жертвы был успешно взломан, после чего хакеры запустили вредоносный код. Этот код попытался загрузить и развернуть в системе программу-вымогатель, однако эту активность блокировала Sophos.
Записку с требованием выкупа, которая используется в ходе успешных атак, удалось извлечь из пейлоада вымогателя. В этой записке говорится, что ответственность за атаку лежит на некой группировке Reichsadler, и хакеры требуют всего 0,018 BTC за восстановление зашифрованных файлов (около 500 долларов США по текущему курсу).
Размер выкупа удивил специалистов, так как обычно вымогательские группы требуют у компаний-жертв примерно 3% годового дохода (хотя расчеты хакеров часто оказываются неверны и могут быть заметно завышены).
О группировке Reichsadler специалистам неизвестно практически ничего, хотя в записке с требованием выкупа используется московское время. Это может свидетельствовать как о том, что хакеры находятся в России, так и о том, что они пытаются скрыть свое истинное местонахождение.