Исследователи в области кибербезопасности из Fortinet обнаружили новый вариант семейства вымогательских программ Phobos, получивший название Faust. ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ Faust ведет себя как большинство клонов Phobos: он шифрует систему жертвы, делая файлы бесполезными и зашифрованными. Атака начинается через инфицированный документ Microsoft Excel формата «.XLAM» со встроенным VBA-скриптом. Атакующие использовали сервис Gitea для хранения файлов, закодированных в Base64, каждый из которых содержит вредоносный двоичный файл. ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ Параллельно незаметно извлекается исполняемый файл, маскирующийся под обновление AVG AntiVirus («AVG updater.exe»). Этот файл, в свою очередь, загружает и запускает другой исполняемый файл «SmartScreen Defender Windows.exe», который начинает процесс шифрования. ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ Одна из особенностей вымогателя Faust – способность создавать сразу несколько потоков для эффективного шифрования данных. ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ Хакерские атаки с шифрованием данных – это проблема, с которой сегодня представители крупного и среднего бизнеса сталкиваются все чаще, поскольку злоумышленник может обойти внешний периметр защиты, пройти DMZ-зону и при этом остаться незамеченным. Но вот изменения, которые он внесет на целевой системе, можно обнаружить, в случае, если все критически важные файлы и конфигурации, контролируются на неизменность. ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ Для того, чтобы защитить свой бизнес от хакерских атак, обращайтесь в наш отдел продаж для консультации по номерам: +7 (727) 331 11 44 или +7 (727) 331 11 41. Мы готовы взять на себя решение вопроса информационной безопасности вашей организации, используя комплексный подход, а также предоставляя передовые решения для защиты информации, основанные на концепции "zero trust".