За последние несколько дней группа программ-вымогателей использовала эксплойты, чтобы получить доступ к незащищенным серверам Confluence и GitLab, зашифровать их файлы, а затем попросить у владельцев серверов выкуп за восстановление их данных.
На зараженных серверах в конце каждого зашифрованного файла появляется расширение « .locked». После запроса на сервер Confluence или GitHub он возвращает ошибку 404, не позволяя пользователям войти в свои учетные записи. Администраторы, проводящие расследование, в конечном итоге нашли файл с именем __ $$ RECOVERY_README $$ __. Html, который содержит требование выкупа злоумышленниками.
Записка с требованием выкупа, изображенная выше, идентична записке, использованной Cerber, ныне несуществующей программы-вымогателя, которая действовала в период с 2016 по 2019 год.
Однако анализ кода показывает, что это совершенно другой вид вымогателя, который просто пытается быть похожим на другого вымогателя, в попытке запугать жертв и заставить их заплатить, за восстановление доступа к своим файлам.
Согласно Tencent, вымогатели использовали уязвимости CVE-2021-26084 и CVE-2021-22205 для получения доступа к серверам Confluence и GitLab соответственно.
Обе уязвимости представляют собой ошибки удаленного выполнения кода, которые могут предоставить злоумышленникам полный контроль над незащищенными системами; следовательно, злоумышленники могут с легкостью запускать программы-вымогатели и шифровать файлы. Обе эти уязвимости были известны ранее, для них доступны исправления и они уже использовались в реальных условиях множеством злоумышленников с сентября и ноября соответственно, а это означает, что у компаний нет оправдания тому, что на данный момент все еще используются устаревшие системы.
Например, согласно отчету Sophos, в октябре серверы Confluence также стали жертвами вымогателей Atom Silo. Согласно Tencent, подавляющее большинство (новых) жертв Cerber в настоящее время проживает в Китае, Германии и США. Злоумышленники просят 0,04 биткоина (~ 2000 долларов США), чтобы предоставить жертвам дешифратор. В случае не выплаты денег в течение пяти дней, сумма выкупа удваивается.
