Группировка использует тактику двойного вымогательства и требует с жертв миллионы долларов.
https://www.securitylab.ru/upload/ib...137aa012af.png
0mega – новая вымогательская кампания, запущенная в мае 2022 года. За несколько месяцев жертвами злоумышленников стали множество организаций. Специалистам пока не удалось найти образец вымогательского ПО, используемого хакерами, поэтому информации о методах шифрования файлов крайне мало.
Однако на данный момент известно, что программа добавляет расширение .0mega к именам зашифрованных файлов, а также создает записку о выкупе под названием DECRYPT-FILES.txt.
Записка о выкупе индивидуальная для каждой жертвы и обычно содержит в себе название компании, описание различных данных, похищенных в ходе атаки. Кроме того, в некоторых записках есть угрозы от группировки 0mega. Злоумышленники угрожают раскрыть информацию об атаке деловым партнерам и торговым ассоциациям, если выкуп не будет выплачен.
Кроме этого, в записках о выкупе есть ссылка на сайт, позволяющий связаться с вымогателями и обсудить детали оплаты. Чтобы зайти на сайт, жертвы должны загрузить свои записки о выкупе, которые включают уникальный blob в кодировке Base64, используемый сайтом для идентификации жертвы.
https://lh6.googleusercontent.com/PW...4HGqgcj7wAFEzU
Сайт для связи с злоумышленниками
Также у 0mega есть специальный сайт с утечками, который используется для публикации украденных данных в случае неуплаты выкупа. В настоящее время на сайте хранится 152 Гб данных, похищенных у компании по ремонту электроники в результате майской атаки.
https://lh4.googleusercontent.com/61...7fxPvrojE60L_4
Сайт злоумышленников
Однако на прошлой неделе появилась еще одна жертва, которая уже удалена с сайта злоумышленников. Это говорит о том, что компания-жертва заплатила выкуп. Так как вымогательская кампания только набирает обороты, специалисты предупреждают о возможных атаках в будущем.