Новый вымогатель Rex и иранские хакеры под прикрытием программ-вымогателей: дайджест киберугроз

В центре внимания оказался вымогатель Rex, который эксперты идентифицировали при мониторинге подпольных форумов. Этот вредоносный код поражает системы под управлением Windows, что особенно опасно для корпоративной среды. После заражения программа переименовывает файлы, добавляя к ним расширение ".rex48", хотя числовой суффикс может меняться в зависимости от версии. Например, файл "1.jpg" превращается в "1.jpg.rex48". Затем злоумышленники создают HTML-файл с требованием выкупа под названием "RANSOM_NOTE.html".

Характерно, что операторы Rex применяют тактику двойного вымогательства. Они не только шифруют данные, но и утверждают, что похитили конфиденциальную информацию из сети жертвы. В записке с требованием выкупа говорится, что сеть компании уже скомпрометирована. Авторы предупреждают: попытки восстановить файлы с помощью сторонних инструментов или переименовать их могут навсегда испортить данные. Злоумышленники обещают бесплатно расшифровать два-три неважных файла в качестве доказательства своих возможностей. Жертвам предлагают связаться с ними по электронной почте или через чат в сети Tor. Если контакт не будет установлен в течение 72 часов, сумма выкупа возрастёт.

Аналитики в своём отчёте подчёркивают, что Rex использует широкий набор техник, описанных в базе знаний MITRE ATT&CK. Вредоносный код умеет удалять теневые копии томов - встроенный механизм резервного копирования Windows. Для этого программа запускает команды вроде "vssadmin.exe Delete Shadows /all /quiet" и "wmic shadowcopy delete /nointeractive". Таким образом жертвы лишаются возможности восстановить данные стандартными средствами. Кроме того, вымогатель проверяет, не запущен ли он в виртуальной среде или под наблюдением отладчика. Если программа обнаруживает признаки анализа, она может приостановить работу или вообще не активировать вредоносную нагрузку.

Эксперты оценивают Rex как серьёзную угрозу для корпоративных сетей. Операторы явно нацелены на организации, где простой и репутационный ущерб заставляют руководство быстрее соглашаться на выплаты. Язык записки направлен на то, чтобы жертвы не обращались за помощью к специалистам по реагированию на инциденты. В будущем, полагают исследователи, Rex может эволюционировать в более сложную модульную платформу, способную адаптироваться к разным корпоративным средам и быстрее распространяться по сети.

Вместе с тем внимание специалистов приковано к иранской группировке MuddyWater. Свежий доклад показал, что эта APT-группа, связанная с Министерством разведки Ирана, использует программы-вымогатели Chaos для прикрытия шпионских операций. Принимая облик известной киберпреступной группировки, MuddyWater пытается запутать следы и усложнить атрибуцию западным правоохранителям. Исследователи отметили, что в начале 2026 года активность группы возросла, а её методы стали изощрённее.

Один из инцидентов изначально выглядел как обычная атака вымогателей. Однако анализ показал, что шифрования файлов не произошло - злоумышленники сосредоточились на краже данных. Доступ они получили через социальную инженерию в Microsoft Teams: хакеры инициировали чаты и во время демонстрации экрана похитили учётные данные для VPN. Несмотря на грубую попытку вымогательства, атакующие успешно выгрузили корпоративную информацию. Специалисты Rapid7 проследили, что использованное вредоносное ПО и инфраструктура совпадают с инструментарием MuddyWater, который применялся в предыдущих кампаниях на Ближнем Востоке.

Этот случай наглядно демонстрирует размывание границ между государственными хакерами и киберпреступниками. MuddyWater и ранее использовала экосистему программ-вымогателей, например Qilin, чтобы сохранять возможность правдоподобного отрицания, выполняя государственные задачи. Такой подход характерен не только для Ирана: группировки из Китая, России и Северной Кореи тоже нередко маскируют хищение данных под атаки вымогателей или действуют из финансовых соображений. Смешивая мотивы, эти акторы создают серьёзные трудности для защитников и международных расследователей.

Дополнительную тревогу вызывает активность группировки HeartlessSoul, также известной как Versatile Werewolf. Эти хакеры нацелены на аэрокосмические компании и операторов беспилотников. Они используют фишинг и вредоносную рекламу, чтобы похищать геопространственные данные, включая цифровые карты рельефа и информацию из геоинформационных систем. По мнению аналитиков, HeartlessSoul связана с проукраинскими интересами: её цели - российские оборонные подрядчики и форумы операторов дронов. Похищенные данные позволяют противнику видеть, как жертва воспринимает местность, инфраструктуру и логистические маршруты, что даёт огромное преимущество для планирования ударов.

В итоге текущая неделя демонстрирует тревожную тенденцию: программы-вымогатели перестали быть просто инструментом вымогательства. Они становятся универсальным прикрытием для шпионажа, а их операторы - всё более профессиональными и адаптивными. Организациям стоит пересмотреть свои меры защиты, уделяя особое внимание мониторингу аномалий, своевременному обновлению систем и обучению сотрудников. Современная угроза требует не только технических средств, но и глубокого понимания мотивов и тактик противника.

IPv4

• 146.70.124.102
• 45.67.230.91
• 64.233.181.94
• 94.131.109.65
• 94.131.98.14
• 95.164.38.99

Domains

• airpaz.egnyte.com
• airpazflys.egnyte.com
• downloadfile.egnyte.com
• fileuploadcloud.egnyte.com
• onlinemailservices.com
• smtpcloudapp.com
• softwarehosts.com

MD5

• 17f0a28f279e276ae7105cabcd956f73

SHA1

• 4d150b31817f286ffd49fb6230c61d3b6fd4ee8d

SHA256

• ef02d5b2711367205087840e84a6a498a0c74fa7d408aacccd6650622520f8cc