26 листопада зафіксували значне зростання кількості жертв нового, але надзвичайно агресивного Ransomware-угруповання “BlackTorch”. Це угруповання відрізняється використанням подвійного вимагання (крадіжка даних з подальшим шифруванням) та вдосконаленим методом початкового доступу, який базується на компрометуванні віддалених робочих столів (RDP) та вразливостях у старих версіях VPN-шлюзів. Жертвами стали переважно компанії середнього бізнесу в галузях виробництва та логістики в Західній Європі та Північній Америці, що свідчить про зміщення цілей у бік секторів із менш надійним кіберзахистом.

Аналіз інцидентів показує, що “BlackTorch” швидко підвищує привілеї та використовує інструменти, які дозволяють обійти EDR-системи (Endpoint Detection and Response) завдяки унікальним модифікаціям стандартних інструментів адміністрування. Для захисту організаціям настійно рекомендується відключити RDP від прямого доступу з Інтернету, а там, де він необхідний, застосовувати багатофакторну автентифікацію (MFA) та використовувати VPN з найновішим ПЗ. Це підтверджує стійку тенденцію, що групи-вимагачі продовжують вдосконалювати свої техніки, фокусуючись на слабких місцях мережевого периметра.