По следам WannaCry: новый вариант вымогателя Yashma восстал для новых кибератак

Исследователи Cisco Talos обнаружили новый штамм вымогательского ПО, который использовался для атак на организации в Китае, Вьетнаме, Болгарии и ряде англоязычных стран. Эксперты предполагают, что субъект угрозы базируется во Вьетнаме и начал проводить атаки с 4 июня.

Вредоносное ПО является вариантом вымогательского ПО Yashma , который утратил активность после выпуска дешифратора в прошлом году.

На происхождение хакера указывает имя его аккаунта на GitHub и контактная электронная почта в заметке о выкупе, которая копирует имя вьетнамской организации. Записка о выкупе напоминает ту, что использовалась в WannaCry в 2017 году. Версии записки представлены на английском, болгарском, вьетнамском и китайском языках.

Сумма выкупа удваивается, если жертва не оплачивает её в течение трех дней. Однако, сумма выкупа не указана, а на биткоин-кошельке, указанном в заметке, нет средств. Это может указывать на то, что кампания только начинает своё развитие.

Записка о выкупе

Cisco Talos указывает , что Yashma является переименованной версией вымогательского ПО Chaos, которое впервые появилось в мае 2022 года. Основное отличие заключается в том, что новый вариант скачивает заметку о выкупе с репозитория киберпреступника на GitHub, что позволяет обходить системы обнаружения.