Нещодавня атака на Garmin підтвердила загрозу нового ransomware WastedLocker, створеного російською групою Evil Corp. Цей зловмисний софт заблокував сервери Garmin на п’ять днів, вплинувши на мільйони користувачів та завдавши компанії значних збитків.

Як це працює? Атака починається з фішингових сайтів, де SocGholish-фреймворк маскується під оновлення для Chrome чи Firefox. Після завантаження шкідливого “оновлення” запускається CobaltStrike, який забезпечує бічний рух у мережі. WastedLocker використовує обхід UAC для підвищення привілеїв, шифрує файли (за винятком тих, що менше 10 байт) за допомогою AES та додає до імен файлів суфікс “wasted”. Хакери вимагають викуп у біткоїнах від $500,000 до $10 млн.

Що загрожує? WastedLocker видаляє резервні копії та атакує як сервери, так і робочі станції, обходячи більшість EDR та антивірусів завдяки атакам на пам’ять.

Як захиститися?

-Уникайте підозрілих оновлень із ненадійних сайтів.
-Використовуйте рішення з захистом пам’яті, як-от Morphisec Anti-Ransomware Assurance Suite.
-Регулярно створюйте ізольовані резервні копії.
-Оновлюйте системи та антивіруси для захисту від фішингу.

WastedLocker показує, як кіберзлочинці використовують складні методи. Захищайте свої мережі та залишайтеся пильними!