Главная страница » IOC
0
5 месяцев
IOC

Embargo Ransomware IOCs

ransomware

Новая группа разработчиков вымогательского ПО под названием Embargo создала новый набор инструментов на основе языка программирования Rust и использует его в своих атаках. Исследователи ESET обнаружили, что Embargo использует загрузчик и инструмент для уничтожения EDR под названием MDeployer и MS4Killer. Особенно примечательно то, что EDR-убийца настраивается на решения безопасности соответствующей жертвы. Оба инструмента написаны на языке Rust, который группа Embargo предпочитает использовать для разработки своих программ-вымогателей.

Embargo Ransomware

Расследование инцидентов с вымогательством, направленных на американские компании в июле 2024 года, показывает, что Embargo активно развивает свои инструменты. Были обнаружены различные версии MDeployer и MS4Killer, что свидетельствует о том, что над этими инструментами ведется работа. Embargo использует безопасный режим для отключения защитных решений и персонализирует свои инструменты для каждой жертвы.

Embargo - сравнительно новая группа вымогателей, впервые обнаруженная ESET в июне 2024 года. Группа сделала себе имя, выбрав язык программирования Rust для своей полезной нагрузки ransomware. Embargo использует собственную инфраструктуру для связи с жертвами, а также протокол Tox. Помимо вымогательства, группа публикует украденные данные на своем сайте. Возможное интервью с одним из членов группы указывает на то, что Embargo предлагает RaaS (Ransomware as a Service). Группа разработчиков вымогательского ПО выглядит хорошо оснащенной и профессиональной.

Embargo оставляет записки с выкупом в зашифрованных каталогах жертв и добавляет к файлам случайные шестизначные расширения. Интересно, что имена мьютексов в коде этой программы основаны на текстах популярных рок-песен. Центральную роль в атаках Embargo играет вредоносный загрузчик MDeployer. Он расшифровывает файлы и выполняет полезную нагрузку MS4Killer и Embargo ransomware. После завершения шифрования MDeployer завершает процесс MS4Killer и удаляет расшифрованную полезную нагрузку и файл драйвера.

В целом, проведенное расследование показывает, что Embargo - это сложная группа ransomware, которая постоянно совершенствует свои инструменты. Использование языка программирования Rust позволяет им разрабатывать универсальные вымогательские программы для Windows и Linux. Embargo действует как RaaS-провайдер и использует для своих атак специализированную инфраструктуру.

Indicators of Compromise

SHA1

  • 2ba9bf8dd320990119f42f6f68846d8fb14194d6
  • 612ec1d41b2aa2518363b18381fd89c12315100f
  • 7310d6399683ba3eb2f695a2071e0e45891d743b
  • 888f27dd2269119cf9524474a6a0b559d0d201a1
  • 8a85c1399a0e404c8285a723c4214942a45bbff9
  • a1b98b1fbf69af79e5a3f27aa6256417488cc117
  • ba14c43031411240a0836bedf8c8692b54698e05
  • f0a25529b0d0aabce9d72ba46aaf1c78c5b48c31
Комментарии: 0
Похожие записи
0
14 часов
IOC

Распространение RansomHub Ransomware компанией SocGholish

ransomware
Анализ Trend Research показал, что SocGholish, вредоносная программа, играет ключевую роль в распространении RansomHub ransomware через скомпрометированные веб-сайты с помощью обфусцированных JavaScript-загрузчиков.
0
14 часов
IOC

Члены Black Basta (RaaS) использовали автоматизированную систему грубого форсирования, чтобы атаковать пограничные сетевые устройства

security
11 февраля 2025 года русскоязычный актер, использующий Telegram-аккаунт @ExploitWhispers, опубликовал в сети журналы внутренних чатов группы Black Basta Ransomware-as-a-Service (RaaS).
0
11 дней
IOC

Группы Black Basta и Cactus Ransomware добавили в свой арсенал вредоносное ПО BackConnect

security
Команды Trend Micro Managed XDR и Incident Response (IR) провели анализ инцидентов, связанных с программами Black Basta и Cactus, где злоумышленники использовали вредоносную программу BackConnect для захвата контроля над зараженными системами.