Бесплатно Экспресс-аудит сайта:

02.07.2024

Brain Cipher – наследник LockBit, который парализовал жизнь целой страны

Новая программа-вымогатель Brain Cipher начал активно атаковать организации по всему миру. Недавний инцидент, который привлек внимание общественности, произошел в Индонезии, где национальный дата-центр подвергся мощной кибератаке.

В результате атаки 20 июня серверы правительства были зашифрованы, что привело к сбоям в работе иммиграционных служб, паспортных контролей, выдачи разрешений на мероприятия и других онлайн-сервисов.

В результате атаки были нарушены работы более 200 госучреждений. Злоумышленники потребовали выкуп в размере $8 миллионов в криптовалюте Monero, чтобы предоставить дешифратор и не публиковать якобы украденные данные. Правительство Индонезии отказалось выполнять требования киберпреступников, и специалисты пытаются самостоятельно расшифровать захваченную информацию.

В связи с атакой, президент Индонезии Джоко Видодо распорядился провести аудит государственных центров обработки данных после выявления отсутствия резервных копий для большей части хранящейся информации.

Издание BleepingComputer выяснило, что в ходе переговоров вымогатели заявили о намерении выпустить «пресс-релиз о качестве защиты персональных данных», что, вероятно, указывает на кражу данных.

Правительство подтвердило, что за атакой стоит новая программа-вымогатель Brain Cipher, которая начала свою работу в начале июня месяца и уже провела несколько атак на организации по всему миру. Несмотря на то, что Brain Cipher сначала не имела сайта для утечек данных, последние записки с требованием выкупа теперь содержат ссылку на такой сайт, что указывает на использование тактики двойного вымогательства.

За последние 2 недели BleepingComputer обнаружило многочисленные образцы вируса Brain Cipher, загруженные на различные сайты для обмена вредоносным ПО. Образцы [ 1 , 2 , 3 ] были созданы с использованием конструктора LockBit 3.0, код которого был опубликован в сети в 2022 году.

С момента утечки кода билдер активно используется другими киберпреступниками для запуска собственных вымогательских кампаний. Например, операторы SEXi использовали билдер и недавно атаковали центр обработки данных в Чили.

Однако Brain Cipher внесли небольшие изменения в шифровальщик. Одно из изменений заключается в том, что вирус не только добавляет расширение к зашифрованному файлу, но и шифрует имя файла.

Файлы, зашифрованные Brain Cipher

Кроме того, шифровальщик создает записки с требованиями выкупа в формате [расширение].README.txt. Записки кратко описывают случившееся, содержат угрозы и ссылки на сайты для переговоров и утечки данных в сети Tor.

Записка о выкупе Brain Cipher

В одной из записок злоумышленники отклонились от шаблона и использовали имя файла «How To Restore Your Files.txt» («Как восстановить ваши файлы»).

Вариант записки о выкупе Brain Cipher с указанным названием файла

У каждой жертвы есть уникальный идентификатор шифрования, который вводится на сайт переговоров Tor. Как и в других кампаниях, сайт переговоров довольно прост – на нем содержится система чата для общения с вымогателями.

Сайт переговоров Brain Cipher

Как и другие программы-вымогатели, Brain Cipher проникает в корпоративную сеть и распространяется на другие устройства. Получив учетные данные администратора домена Windows, злоумышленники разворачивают вирус по всей сети. Однако перед шифрованием файлов атакующие похищают корпоративные данные, используя их для вымогательства жертвы. Также судя по переговорам, группа вымогателей требовала выкупы в диапазоне от 20 тысяч до 8 миллионов долларов.

Недавно Brain Cipher запустил новый сайт для утечек данных, на котором пока нет жертв

Поскольку шифровальщик основан на утекшем коде LockBit 3.0, он уже был подробно проанализирован в прошлом. Если Brain Cipher не внесли значительных изменений в алгоритм шифрования, то в настоящее время нет известных способов бесплатно восстановить зашифрованные файлы.

За несколько недель до атаки президент Индонезии поручил правительственным чиновникам прекратить разработку новых приложений для правительственных нужд. Решение связано с чрезмерным количеством уже имеющегося ПО, используемого центральными и региональными органами власти.