Обзор угроз CYFIRMA: Новый шифровальщик Gines применяет двойное вымогательство и заметает следы

На подпольных форумах обнаружен образец программы-вымогателя Gines. Вредонос принадлежит к известному семейству Makop и действует по схеме двойного вымогательства. Сначала он похищает конфиденциальные файлы и отправляет их операторам. Затем запускается процесс шифрования. Файлы получают расширение .gines, а в каждой папке появляется записка +README-WARNING+.txt. Жертве предлагают связаться с вымогателями через ginesomna@outlook.com. Публичного дешифратора на сегодняшний день не существует. Злоумышленники нацелили атаки на системы Windows, локальные и сетевые диски. Вредонос активно использует командный интерпретатор, принудительно останавливает службы SQL и удаляет артефакты своей работы. Подобная антифорензическая очистка серьёзно затрудняет восстановление и анализ инцидента. Пока неясно, как именно распространяется Gines, однако специалисты предполагают фишинговые письма или компрометацию серверов.

Аналитики CYFIRMA в отчёте описали ещё один опасный инструмент - программу для кражи данных NWH Stealer. Она незаметно встраивается в легитимные процессы cmd.exe, powershell.exe, svchost.exe и msedge.exe. Её цель - сохранённые учётные данные, история посещений, информация автозаполнения и токены из браузеров Microsoft Edge и Mozilla Firefox. Стилер передаёт собранные сведения на управляющий сервер seall-vernous.com и другие домены через зашифрованное соединение. Для обнаружения этой угрозы эксперты выпустили YARA- и Sigma-правила, а также обширный перечень индикаторов компрометации. Маскировка под системные процессы позволяет стилеру долго оставаться незамеченным.

Параллельно аналитики раскрыли деятельность шпионской группы GhostWriter (UNC1151). Её связывают с белорусскими спецслужбами и работой в пользу России. Весной 2026 года группировка провела фишинговую кампанию против украинских государственных служащих. Поддельные уведомления, замаскированные под сообщения образовательной платформы, служили приманкой. Кроме того, атакующие пытались проникнуть в систему управления боем Delta. Эти операции преследуют цель сбора разведывательной информации и подрыва военных коммуникаций.

Геополитическая напряжённость подпитывает и действия китайских APT-группировок (реализующих целевые атаки при поддержке государства). Группа Calypso, также известная как Red Lamassu, задействует бэкдор Showboat для операционных систем Linux. Вредоносный инструмент проникает в инфраструктуру телекоммуникационных компаний Центральной и Южной Азии. Он обеспечивает скрытный удалённый доступ, загрузку файлов и перехват данных. Регион, по оценкам специалистов, превращается в испытательный полигон для отработки новых кибератак.

Прошедшая неделя принесла две заметные атаки на японский бизнес. Вымогательская группа Payload Ransomware взломала строительную компанию, специализирующуюся на инженерных системах. В даркнете опубликовали примерно 11 ГБ внутренней документации. Другая группа, The Gentlemen Ransomware, атаковала крупное предприятие по обработке алмазов и производству ювелирных изделий. В каждом случае злоумышленники действовали по модели двойного вымогательства. Официальные комментарии от пострадавших организаций пока не поступали.

Подпольные площадки пополнились предложениями о продаже украденных баз данных. Пользователь утверждает, что располагает массивом из 7,15 млн записей клиентов филиппинской сети японских ресторанов. В открытом доступе могут оказаться имена, телефоны, адреса электронной почты, даты рождения, балансы кошельков и история транзакций. Ещё одно объявление касается 32 тыс. учётных записей вьетнамской технологической компании. В базе присутствуют логины и хеши паролей MD5 с солью. Подлинность обеих утечек остаётся неподтверждённой, но сам факт их появления наносит репутационный урон.

Эксперты выявили опасную уязвимость CVE-2026-5817 в Docker Desktop. По шкале CVSS она получила 8.2 балла. Некорректная изоляция в среде выполнения vllm-metal даёт злоумышленнику шанс выполнить код на хост-системе прямо из контейнера. Для эксплуатации бреши не требуется особая квалификация. Разработчики уже выпустили обновление безопасности, и всем пользователям необходимо установить его без промедления.

В заключение CYFIRMA призывает организации пересмотреть подход к управлению поверхностью атаки. Специалисты рекомендуют внедрить многофакторную аутентификацию, сегментировать сеть, оперативно применять публикуемые индикаторы компрометации и регулярно проверять цифровой след. Быстрое внедрение YARA- и Sigma-правил помогает выявлять вредоносную активность на ранних этапах. Сочетание проактивного мониторинга и своевременного устранения уязвимостей значительно снижает риски как от массовых вымогателей, так и от целевых шпионских групп.

Domains

• airtravellog.com
• asylimed.azurewebsites.net
• clinichaven.azurewebsites.net
• cosmic-nebula.cc
• healsanctum.azurewebsites.net
• seall-vernous.com
• thetacticstore.com
• whale-ether.pro

SHA256

• 0020999b2e3e4d1b2cfb69e4df9440d3ce05d508573889fdc12b724ce75a0cd8
• 021838f30a43026084978bce187c165c6b640d8d474ec009d48078d21ec62025
• 0614c4cc6375ab6bdcdd2dfa913a67d32c3e8be9b95a4a2aa09bb131b98191c8
• 0fa42df08cc467ec52b2d388b5575114a8ec067d13f6b1a653ec33fe879f88ca
• 15f79980650393d182f81cd6e389210568aa1f5f875e515efe6cb9485d64b7fb
• 20454ba58d509300fd694ae6159db4efa1b7ff965f98c29e7d087e20f96578c1
• 308da9f49ffa1d1744e428b567792ab22712159974e9da8d8e0414ecd81de93e
• 33d07aa24b217f27df6a483295c817da198e12511a6989bcc6b917feaf8e491d
• 3710fb27d2032ef1eb1252ebf5c4dd516d2b2c0a83fb82c664c89e504b990fa9
• 4858094881907387319bc047ef89299613f45fb2178b752c15a7b653559e759c
• 5427b4cefb329ed0e9585b3ce58a2788baf87e3b0c7221373f9bbd5f32c85b62
• 96fe4ddfe256dc9d2c6faea7c18e2583cd9d9c0099a4ad2cf082f569ee8379f4
• c8e96b55f13435c4b43b7209d2403f1a0e0f9deb05edc50e0f777430be693b07
• d3a896f450561b2546b418b469a8e10949c7320212eb1c72b48e2b1e37c34ba5