Спустя всего два дня после крупного международного захвата сервера LockBit, одной из самых распространенных в мире групп вымогателей, появились новые атаки с использованием вредоносного ПО, связанного с этой группой.

Атаки, выявленные за последние 24 часа, используют критические уязвимости в ScreenConnect, популярном приложении для удаленного рабочего стола. После успешного использования этих уязвимостей хакеры распространяют вымогательское ПО LockBit и другие вредоносные программы. Хотя точная версия вымогательского ПО остается неясной, исследователи безопасности подтверждают его связь с LockBit.

Хотя официальная причастность группы LockBit неясна, эксперты считают, что эти атаки свидетельствуют об их широком охвате с помощью различных инструментов, филиалов и ответвлений. ПО-вымогатель нацелено на различные жертвы, включая ветеринарные кабинеты, медицинские клиники и местные органы власти, и даже затрагивает системы 911.

Ситуацию еще больше усложняет то, что распространяемая программа-вымогатель может быть как официальной версией LockBit, так и утечкой от недобросовестного инсайдера. Утечка инструментов сборщика способствует появлению атак-подражателей, что затрудняет атрибуцию. Подобные инциденты произошли в 2023 году с группами Flamingo и Spacecolon.

Несмотря на недавние усилия по уничтожению группировок, власти признают, что нейтрализовать все филиалы сложно из-за их широкого распространения. Новые атаки могут исходить от оставшихся активных филиалов или даже от неаффилированных лиц, использующих ассоциацию LockBit.

Источник: Ferra