Исследователи из FortiGuard Labs обнаружили вымогательскую программу Underground, нацеленную на платформы Microsoft Windows.
Underground Ransomware
Эта программа-вымогатель шифрует файлы жертв и требует выкуп за их расшифровку, уровень серьезности классифицируется как высокий. Первый образец программы Underground ransomware был замечен в начале июля 2023 года, что совпало с появлением первой жертвы на сайте утечки данных 13 июля 2023 года. Распространением вымогательского ПО занимается российская группировка RomCom, также известная как Storm-0978. Известно, что в качестве вектора заражения она использует уязвимость CVE-2023-36884 (Microsoft Office and Windows HTML RCE Vulnerability). Программа удаляет теневые копии, изменяет время сеанса RemoteDesktop/TerminalServer, останавливает службу MS SQL Server и создает записку с именем «!!!readme!!!.txt». Кроме того, он не шифрует файлы с определенными расширениями и имеет сайт утечки данных, на котором перечислены 16 жертв из различных отраслей.
Indicators of Compromise
SHA256
- 9543f71d7c4e394223c9d41ccef71541e1f1eb0cc76e8fa0f632b8365069af64
- 9d41b2f7c07110fb855c62b5e7e330a597860916599e73dd3505694fd1bbe163
- 9f702b94a86558df87de316611d9f1bfe99a6d8da9fa9b3d7bb125a12f9ad11f
- cc80c74a3592374341324d607d877dcf564d326a1354f3f2a4af58030e716813
- d4a847fa9c4c7130a852a2e197b205493170a8b44426d9ec481fc4b285a92666
- eb8ed3b94fa978b27a02754d4f41ffc95ed95b9e62afb492015d0eb25f89956f
