Cisco Talos обнаружила неизвестную группу угроз, предположительно вьетнамского происхождения, которая проводит операцию по распространению вымогательского ПО, начавшуюся, по крайней мере, 4 июня 2023 года с использованием модифицированной программы Yashma ransomware. В этой атаке используется вариант программы-вымогателя Yashma, который, вероятно, нацелен на несколько географических регионов и имитирует характеристики WannaCry.
Атакующий использует необычную технику доставки записки с выкупом. Вместо того чтобы встраивать строки с выкупом в бинарный файл, они загружают его из контролируемого агентом репозитория GitHub, выполняя встроенный пакетный файл. Talos с высокой степенью уверенности полагает, что данный злоумышленник нацелен на жертв в англоязычных странах, Болгарии, Китае и Вьетнаме, поскольку на GitHub-аккаунте злоумышленника под ником "nguyenvietphat" имеются заметки о выкупе, написанные на языках этих стран. Наличие англоязычной версии может свидетельствовать о том, что злоумышленник намерен атаковать широкий географический диапазон.
Indicators of Compromise
URLs
- https://github.com/nguyenvietphat/Ransomware.git
Emails
MD5
- 08c7ff3a65f703d12fc644b63dff19d5
SHA1
- f38e8932f4c88c1fd801696267924c6767155028
SHA256
- 3ea6df18492d21811421659c4cf9b88e64c316f2bef8a19766b0c79012476cac
