Кампания с интересными особенностями следует по всем канонам кибервымогателей.
Исследователи Cisco Talos обнаружили новый штамм вымогательского ПО, который использовался для атак на организации в Китае, Вьетнаме, Болгарии и ряде англоязычных стран. Эксперты предполагают, что субъект угрозы базируется во Вьетнаме и начал проводить атаки с 4 июня.
Вредоносное ПО является вариантом вымогательского ПО Yashma , который утратил активность после выпуска дешифратора в прошлом году.
На происхождение хакера указывает имя его аккаунта на GitHub и контактная электронная почта в заметке о выкупе, которая копирует имя вьетнамской организации. Записка о выкупе напоминает ту, что использовалась в WannaCry в 2017 году. Версии записки представлены на английском, болгарском, вьетнамском и китайском языках.
Сумма выкупа удваивается, если жертва не оплачивает её в течение трех дней. Однако, сумма выкупа не указана, а на биткоин-кошельке, указанном в заметке, нет средств. Это может указывать на то, что кампания только начинает своё развитие.
https://lh4.googleusercontent.com/wY...feucFHuw6MRysw
Записка о выкупе
Cisco Talos указывает , что Yashma является переименованной версией вымогательского ПО Chaos, которое впервые появилось в мае 2022 года. Основное отличие заключается в том, что новый вариант скачивает заметку о выкупе с репозитория киберпреступника на GitHub, что позволяет обходить системы обнаружения.