В России появился вирус, щадящий компьютеры на персидском
Эксперты Лаборатории цифровой криминалистики компании F.A.C.C.T. (бывшая Group-IB) сообщили об активизации в России программ-вымогателей LokiLocker и BlackBit. Сообщение компании есть у РБК.
Впервые появление программы LokiLocker было зафиксировано на Ближнем Востоке. В России к нему присоединилась родственная программа-вымогатель BlackBit, которую эксперты называют «близнецом» LokiLocker. Они шифруют файлы на компьютере жертвы и требуют выкуп за доступ к данным. Размер выкупа колеблется от $10 тыс. до $100 тыс. При этом они не шифруют файлы на компьютерах, где выбран персидский в качестве основного языка интерфейса.
В качестве канала коммуникации с жертвами хакеры используют электронную почту и Telegram. По истечении 30-дневного срока, если выкуп не получен и не использован декриптор, программа-вымогатель уничтожает все данные в скомпрометированной системе.
Начиная с апреля 2022 года LokiLocker и BlackBit атаковали не менее 62 компаний по всему миру, из них 21 жертва находилась в России. В основном это компании малого и среднего бизнеса из сферы строительства, туризма, розничной торговли.
«Некоторые исследователи убеждены, что атаки LokiLocker и BlackBit намеренно проводятся «под чужим флагом», для того чтобы затруднить работу исследователям. В свою очередь, криминалисты F.A.C.C.T. не исключают, что состав группы может быть интернациональным, несмотря на то что партнерская программа и первые версии программы-вымогателя изначально были созданы носителями персидского языка», — говорится в сообщении лаборатории.
В начале мая эксперты по кибербезопасности зафиксировали в России массовую рассылку писем, содержащих во вложении вредоносную программу-стилер Loki. Письма с вирусом рассылаются от имени крупнейшего в стране поставщика электрооборудования.
