Впервые программа-вымогатель TargetCompany была обнаружена в июне 2021 года, тогда же она была названа аналитиками отрасли в честь принятого ею шаблона добавления к зашифрованным файлам названия компании, против которой она была нацелена.
В интервью, данном в январе 2023 года, создатели угрозы TargetCompany пояснили, что каждое крупное обновление ransomware влечет за собой изменение алгоритма шифрования и различных характеристик дешифратора. Они сопровождаются изменением расширений имен файлов, отсюда и эволюция имен, под которыми известна группа ransomware.
Ранние варианты TargetCompany предоставляли для переговоров контактный сайт ".onion" и сбрасывали записки с выкупом под названием How to decrypt files.txt. Между тем, более поздние варианты вымогательской программы TargetCompany больше не используют название целевого предприятия в качестве расширения имени файла. В середине-конце 2022 года группа получила название Fargo из-за расширения, которое она добавляла к своим зашифрованным файлам в этот период. Другие расширения, используемые группой ransomware, включают ".mallox" и ".xollam". Эти поздние варианты были замечены в использовании комбинации алгоритмов Chacha20, Curve 25519 и AES-128 для шифрования файлов жертв.
TargetCompany ransomware в основном атакует уязвимые серверы баз данных. В нем реализована рефлексивная загрузка, при которой он подключается к IP-адресу для загрузки своей полезной нагрузки.
Indicators of Compromise
IPv4
- 91.243.44.142
- 91.243.44.85
URLs
- http://80.66.75.25/pl-Thjct_Rfxmtgam.bmp
- http://80.66.75.25:80/kill$.exe
- http://80.66.75.37/a-Eslaod.dat
- http://80.66.75.37/Fhfdecoxg.bmp
- http://91.243.44.101/Asbvww.png
SHA256
- 160010289cc38de42f7b75fa817a6ef7931bfd8aa1370fb09559b2e035e05702
- 16efbc896139552fd23ee2ea09b4c352d329b6b011fb5112f392bc64438d91f8
- 18d7fa5e19af651f0ad91eea15398110e031964ad759b3e3809fd0a0a71a2507
- 1cbaed19d1cea23187d6ac7a0d27af6f11ba84eda6e939c99250ed112cad3ff0
- 225aee453b9568adc4ebb27ce98fd80feabf144356196aa1139f08f4fe10eadc
- 2592c02f8ba88b44b465a5f5dceefd8ecbff7e948ee5338087064e75ca6f4cd3
- 2952d5889bdb07148770453cb5f01fa6cc4deabf97290cc511b71d6e122cfc48
- 409b2a0b79465b8ca7707187f30e1dc268b5bbb92080fb4b0d2b87b744e8ec66
- 4d15aa5d68b0e8b081c18d0ee5c06cc1758d17246a8d01b3c8ac48d1ef07610b
- 4efdb7795d40a6d561dea7b059291d78d0a9812d3957888e9997df0aac7b8afd
- 4f4ee2de8f18bf758d72ac288e61071e1be2ddc54a140cd512c97f5473461036
- 5e10d57402829425c50d2b7b0c7210433e337e6477e9d90626287cbc97f8df72
- 5fc82f62d7b78f5e958158d45b9aa45e52aa6cd0bb8fcc9f02abcce9c3d75967
- 6d656133f5bac8282f31cc82ca0e3869692164a6907037aabc134736adc87b35
- 6f2fe4cf0102edad960834050819e8842b29371380b993ce0d02fc6d85b11c50
- 76e7050683f047ad7807f0fe903bac27cb043cef2981028cadbc6adce4b3cea9
- 7f8417f60910e5ff5f83169f833a3c5321b5ad64c4b2f8fd196d6d8fd53deb77
- 81dded0aa5178bd4b3bd570fe6e354088adf1f7fd3fcd278a74e9031f9998ede
- 8820fe6c0f2d9f702a91f92a275a534de63e88de46f2baa05d50d4d7855bf319
- 8fced7314814171b381613421e70f0f44f662d3d2ea00ff99b4502afa37e000d
- 937e8cf5c406f171696985b30f88d3e91f1d6c69e7489e2e4ea2609c641f7bd9
- 9b833d5b4bdbc516e4773c489ced531b13028094ce610e96ebc30d3335458a97
- a96a3edd745708a6be84086feff906d72f7a2d7ce154037436cc236d1662b577
- ad077b579a0f96411198788bdc9c26056cb6484b4843ad3cec507d3de0731699
- b6e1ebc544797f316ad7207b934799cc8f5da198ddbe242250aa9592b2ce9fd3
- b99b7d7b692860a8a45d6929d6763d891ca35659bf20ed74111113420740bded
- c00544768cf3acb3f17506383afa2f30fbe01876ded5612948150a9bfc24387f
- c3bca3b74f6525e3cba9eb931ed649fabfc5f77e804904893bc700ab585402b6
- ca0cb45269f4b45b22da052108d18724485d09165e69877f32a153563168fc8e
- cb9ad9670dcb82aa54a6526d35fee8ed1e63a1abbb29d2db2acb3f5e49b66aac
- dce8b37c878cbbb7247543693a9f3154d482c453c81d3661abb2174b594a2c76
- dd662fc0cd4ec73f79520dd15c5d771fb5eed2f41c6fe4f24c8af186c7a8da03
- e075c4574272dae04ae9a2f2219a608520da2524822ad9c48234866c4db07400
- e8a3e804a96c716a3e9b69195db6ffb0d33e2433af871e4d4e1eab3097237173
