Недельная сводка угроз, опубликованная платформой Crystal Eye и дополненная данными Red Piranha, указывает на сохранение высокой активности программ-вымогателей и появление новых инструментов для кражи информации. В центре внимания оказалась группа Brain Cipher, чей энкодер построен на утекшем коде LockBit 3.0. Специалисты зафиксировали увеличение числа инцидентов с участием этой группировки, а также отметили распространение стилера RevStealer, использующего блокчейн Polygon для управления. Параллельно обновлён список известных уязвимостей, включающий критические бреши в Splunk Enterprise, Joomla Content Editor и плагине LiteSpeed для cPanel.
Описание
Согласно данным мониторинга, самой активной программой-вымогателем прошлой недели стала Deadlock, затронувшая 72 страны и составившая 26,57% всех атак. На втором месте расположилась The Gentlemen с 35 странами, а Lockbit5 замкнула тройку, поразив 34 государства. Группа Brain Cipher, хотя и не вошла в лидеры по числу жертв, привлекла внимание аналитиков из-за технической сложности своих операций и тесной связи с экосистемой LockBit.
Новый стилер RevStealer предназначен для работы в среде Windows. Его распространяют через поддельное программное обеспечение и моды для игр. Отличительная особенность вредоносной программы - использование технологии EtherHiding: конфигурационная информация размещается в смарт-контрактах блокчейна Polygon, что затрудняет её блокировку традиционными методами. После заражения RevStealer собирает учётные данные, сведения из браузеров и криптовалютные кошельки, шифрует их и отправляет на командный сервер. Этот инструмент демонстрирует растущую тенденцию к децентрализации каналов управления вредоносным ПО.
Помимо новых угроз, специалисты обновили сигнатуры для известного стилера Lumma Stealer (также известного как LummaC2). Эта программа, распространяемая по модели Malware-as-a-Service, продолжает активно использоваться для сбора чувствительных данных - от паролей до файлов cookie. Её типичные векторы доставки - фишинговые письма, поддельные обновления браузеров и взломанные программы. Собранная информация впоследствии перепродаётся на подпольных рынках и нередко служит начальным доступом для атак с применением программ-вымогателей.
В перечень критических уязвимостей недели вошли четыре позиции с высокими оценками по шкале CVSS. CVE-2026-20253 в Splunk Enterprise (CVSS 9.8) позволяет неаутентифицированному удалённому злоумышленнику выполнить произвольный код через сервис PostgreSQL sidecar. Уязвимость затронула версии до 10.2.4 и 10.0.7. Аналогичный рейтинг присвоен проблеме CVE-2026-48907 в расширении Joomla Content Editor: некорректный контроль доступа открывает путь к неавторизованному удалённому выполнению кода. Расширение версии 2.9.99.4 и ниже подвержено риску; обновление до 2.9.99.6 устраняет брешь. Уязвимость CVE-2026-54420 в плагине LiteSpeed для cPanel (CVSS 8.5) позволяет злоумышленнику, имеющему доступ к FTP или веб-оболочке в общем хостинге с CloudLinux/CageFS, повысить привилегии до root. Cisco Catalyst SD-WAN Manager содержит уязвимость обхода каталогов CVE-2026-20262 (CVSS 6.5), которая при наличии аутентифицированного доступа на запись даёт возможность перезаписывать файлы и эскалировать привилегии.
Наиболее детально в отчёте разобрана группа Brain Cipher. Её энкодер является модифицированной версией LockBit 3.0 (LockBit Black builder). Шифрование выполняется по схеме Salsa20 для содержимого файлов и RSA-1024 для защиты ключа. Зашифрованные файлы получают имя из семи символов и расширение из девяти случайных символов; при этом само имя файла также шифруется. Для ускорения применяется частичное шифрование - данные за пределами 0x80000 байт остаются нетронутыми. Важно, что Brain Cipher является лишь одной из марок, под которыми действуют одни и те же операторы. Аналитики связывают с ними группировки EstateRansomware, SenSayQ, "Noname" и RebornRansomware - связь установлена по совпадающим адресам электронной почты на домене cyberfear[.]com, одинаковым скриптам Tor-сайтов и формулировкам записок с требованием выкупа.
Жизненный цикл атаки Brain Cipher включает несколько стадий. Вход обычно осуществляется через фишинг, эксплуатацию публичных приложений или приобретение доступа у брокеров. После проникновения злоумышленники повышают привилегии, используя уязвимость CVE-2023-28252 в драйвере Windows CLFS. Затем отключают Windows Defender и останавливают службы резервного копирования, а также очищают журналы событий, чтобы затруднить расследование. Кража учётных данных из браузеров и дампа системы позволяет получить права доменного администратора. Распространение по сети выполняется через SMB, PsExec и групповые политики - энкодер развёртывается с контроллера домена. Перед шифрованием группа заявляет о хищении данных для двойного вымогательства, однако, как показывает анализ, в большинстве случаев данные не публикуются, что может указывать на блеф. Уничтожение теневых копий томов и остановка служб VSS, Hyper-V, VirtualDisk и Veeam лишают жертву возможности восстановления. Финальный этап - запуск энкодера, который оставляет записку с требованием в каждом каталоге.
Индикаторы компрометации включают хеши SHA256 образцов, сетевые адреса Tor-сайтов (например, vkvsgl7lhipjirmz6j5ubp3w3bwvxgcdbpi3fsbqngfynetqtw4w5hyd[.]onion для утечки данных), адрес электронной почты brain.support[@]cyberfear.com и биткоин-кошелёк без зафиксированных транзакций. Для обнаружения атаки рекомендуется контролировать аномальное обращение к процессу lsass.exe, отключение Defender, остановку служб и массовое переименование файлов с шаблоном "7 символов + 9 случайных".
С точки зрения защиты ключевую роль играет превентивное применение Zero Trust Network Access с многофакторной аутентификацией для всех удалённых входов. Модули CEASR (allowlisting приложений) и ForceField (защищённые папки) на конечных точках блокируют запуск энкодера, основанного на LockBit, даже при попытке записи в защищённые каталоги. DNS-блокировка известных .onion-адресов и адресов электронной почты cyberfear[.]com снижает риск коммуникации с операторами. Критически важен круглосуточный мониторинг через MDR и SIEM, позволяющий выявить каскад событий: отключение защитных средств, кражу доменных учётных данных, развёртывание через GPO и удаление теневых копий. После подтверждения атаки необходимо немедленно изолировать заражённые узлы и восстановить данные из неизменяемых резервных копий.
Сохранение высокой активности группировок, использующих утекший код LockBit, подтверждает, что экосистема программ-вымогателей продолжает эволюционировать за счёт повторного использования и ребрендинга. При этом появление стилеров с децентрализованным управлением, таких как RevStealer, усложняет задачу блокировки командных серверов. Компаниям всех секторов необходимо своевременно обновлять критическое ПО, внедрять строгие политики удалённого доступа и настраивать системы обнаружения на этапы цепочки атаки, характерные для LockBit-совместимых шифровальщиков.
Индикаторы компрометации
Domain
- cyberfear.com
Onion Domain
- brain4zoadgr6clxecixffvxjsw43cflyprnpfeak72nfh664kqqriyd.onion
- mybmtbgd7aprdnw2ekxht5qap5daam2wch25coqerrq2zdioanob34ad.onion
- vkvsgl7lhipjirmz6j5ubp3w3bwvxgcdbpi3fsbqngfynetqtw4w5hyd.onion
- brain.support@cyberfear.com
MD5
- 448f1796fe8de02194b21c0715e0a5f6
SHA1
- 935c0b39837319fda571aa800b67d997b79c3198
SHA256
- 0ed5729655b3f09c29878e1cc10de55e0cbfae7ac344f574d471827c256cf086
- 2c9bb93dc2c9f841e58db43ba7dedd490cf7e0fd9e66c4b56a888e25e93a510c
- 6e07da23603fbe5b26755df5b8fec19cadf1f7001b1558ea4f12e20271263417
- eb82946fa0de261e92f8f60aa878c9fef9ebb34fdababa66995403b110118b12