F.A.C.C.T., разработчик технологий для борьбы с киберпреступлениями, обнаружил новую преступную группу вымогателей Muliaka. Злоумышленники атакуют российские компании как минимум с декабря 2023 года. В одной из атак для распространения программы-вымогателя в сети жертвы и для ее запуска на хостах Windows атакующие воспользовались популярным корпоративным антивирусом.
В январе 2024 года одна из российских компаний была атакована новой преступной группой вымогателей — в результате у жертвы были зашифрованы Windows-системы и виртуальная инфраструктура VMware ESXi.
Период с момента получения доступа к ИТ инфраструктуре жертвы до начала шифрования данных занял у атакующих около 2 недель. В ходе расследования специалисты F.A.C.C.T. выяснили, что для удаленного доступа к ИТ-инфраструктуре жертвы атакующие использовали VPN-сервис компании, а для перемещения по узлам инфраструктуры службу удаленного управления WinRM (Windows Remote Management).
Специалисты Лаборатории компьютерной криминалистики компании F.A.C.C.T. назвали новую группу Muliaka, использовав в качестве нейминга часть имени аккаунта электронной почты kilamulia@proton.me, которую вымогатели оставляют для связи с жертвой, и южнорусское слово “муляка”, обозначающее грязную мутную воду.
Для распространения своей программы-вымогателя в сети жертвы и для ее запуска на хостах Windows атакующие воспользовались установленным корпоративным антивирусным программным обеспечением. Для удаленного запуска шифровальщика злоумышленники создали инсталляционный пакет (см. рис. 1) и соответствующую задачу. Надо отметить, что при наличии установленного антивируса в ИТ-инфраструктуре жертвы продвинутые атакующие все чаще предпочитают использовать этот продукт для скрытного и эффективного продвижения по сети.