Киберугрозы недели: программы-вымогатели атакуют производственный сектор, а новая кампания HookedWing использует поддельные страницы входа

Наиболее тревожным трендом недели стало лидерство группировки Qilin, на долю которой пришлось 11,7 процента всех атак с использованием программ-вымогателей. Чуть менее активными оказались группы Nova и Lockbit5 с показателями 9,94 и 8,77 процента соответственно. Эти данные говорят о том, что операторы программ-вымогателей не только не снижают обороты, но и наращивают аффилейт-сети, привлекая новых партнёров.

География атак ожидаемо смещена в сторону США, где произошла треть всех инцидентов. Великобритания и Германия стали следующими по частоте целями с показателями около пяти-шести процентов. При этом от атак пострадали компании по всему миру - от Австралии до Панамы, что подтверждает глобальный характер угрозы.

Отраслевая статистика показывает, что главной мишенью остаётся производственный сектор - 11,11 процента атак. На втором месте расположились бизнес-услуги, а на третьем - здравоохранение и строительство. Производственные компании привлекают злоумышленников по нескольким причинам. Во-первых, их операционные технологии часто хуже защищены, чем корпоративные сети. Во-вторых, остановка конвейера обходится в миллионы долларов, что заставляет жертв быстрее соглашаться на требования вымогателей.

Особого внимания заслуживает новая разновидность программ-вымогателей BAVACAI, которую эксперты отнесли к семейству MedusaLocker. Этот вариант сообщили специалисты Red Piranha, был впервые зафиксирован 5 мая 2026 года, а уже через три дня аналитики подтвердили, что он использует общий сайт утечки с другой известной группировкой BARADAI.

BAVACAI использует модель двойного вымогательства. Сначала злоумышленники шифруют файлы на компьютерах жертвы, добавляя к ним расширение .BAVACAI. Затем они похищают данные и угрожают опубликовать их на специальном сайте, если жертва не заплатит выкуп. Примечательно, что срок публикации составляет всего 72 часа, что создаёт дополнительное психологическое давление.

Основным способом проникновения в сеть остаются атаки на службу удалённого рабочего стола RDP. Злоумышленники подбирают слабые или уже скомпрометированные пароли методом перебора. По данным аналитиков, 58,3 процента жертв BAVACAI ранее уже сталкивались с утечкой учётных данных через вредоносные программы-стилеры. Это значит, что защита паролями уже не работает - злоумышленники просто покупают готовые базы данных на теневых форумах.

Процесс атаки выстроен очень тщательно. После получения доступа злоумышленники выполняют разведку, повышают привилегии с помощью подмены идентификатора родительского процесса, закрепляются в системе через автозагрузку и реестр. Затем они отключают антивирусное ПО и останавливают службы баз данных, чтобы снять блокировку с файлов. Только после этого начинается шифрование и выгрузка данных на серверы, доступные через сеть Tor.

Вместе с тем специалисты Red Piranha обнаружили новую долгосрочную операцию под названием HookedWing. Её отличает то, что она длится уже четыре года, но остаётся малоизвестной. Злоумышленники нацелены на государственные учреждения, энергетические компании и объекты критической инфраструктуры. Для первоначального проникновения они используют фишинговые письма, которые выглядят как уведомления от Google, Microsoft и GitHub.

HookedWing не пытается сразу доставить вредоносный код. Вместо этого жертву перенаправляют на поддельные веб-формы, где просят ввести корпоративные учётные данные. Таким образом атакующие собирают логины и пароли от реальных систем. Для этого используются как собственные домены злоумышленников, так и взломанные сайты легитимных организаций. Общее количество задействованной инфраструктуры превышает 120 доменов.

Помимо этих угроз, аналитики обновили каталог известных уязвимостей. Самой опасной из них стал дефект в системе управления контентом Drupal, получивший оценку 9,8 балла по шкале CVSS. Эта уязвимость позволяет неавторизованному удалённому злоумышленнику выполнить SQL-инъекцию и извлечь данные из базы данных, если сайт работает на СУБД PostgreSQL. Ещё одна критическая проблема обнаружена в старом механизме Windows Server Service, который также позволяет удалённо выполнить код.

Примечательно, что в перечень попали уязвимости из далёкого прошлого. Например, CVE-2008-4250 для Windows Server Service и CVE-2009-1537 для Microsoft DirectX. Это говорит о том, что многие организации до сих пор не обновили свои системы, и злоумышленники продолжают успешно эксплуатировать старые, хорошо известные дефекты.

Отдельного упоминания заслуживает обновление сигнатур вредоносного ПО. На этой неделе в список попал NetSupport RAT - средство удалённого доступа, которое умеет обходить современные средства защиты. Оно не только предоставляет злоумышленнику полный контроль над заражённым компьютером, но и способно красть данные, оставаясь незаметным для систем обнаружения.

Подводя итог недели, можно сделать несколько выводов. Во-первых, программы-вымогатели остаются главной угрозой для бизнеса, особенно для промышленного сектора и здравоохранения. Во-вторых, злоумышленники всё чаще используют комбинированные атаки, сочетая фишинг, кражу учётных данных и прямые атаки на уязвимые сервисы. В-третьих, старые уязвимости продолжают работать, потому что компании не спешат устанавливать обновления. Любой из этих векторов может стать причиной серьёзного инцидента, поэтому специалистам по безопасности стоит внимательно следить за появлением новых вариантов вредоносного ПО и своевременно обновлять сигнатуры средств защиты.

Onion Domains

• t33zoj4qwv455fog7qnb2azi5xcdxkixughmmduzbw2rtdgryqfbh6id.onion

Emails

• nhuvgh@outlook.com

SHA256

• 86b4d075d5bd0c49cbb21fd43935789b6612a2165273cc158dd0607b68941d04

Tox ID

• 7C564920870C0D33535D2012ECDDE389FE25BAF7AF427DD584EE39C04AF8CF024F8BFA93D8DB