Post #4560

Упал отжался — Встал разжался После захвата даркнет-сайтов BlackSuit появилась новая группировка Chaos, которая требует по $300K за расшифровку. В июле правоохранители накрыли инфраструктуру BlackSuit. На их сайтах утечек красуется баннер с логотипами 17 спецслужб. Но криминальный бизнес не терпит пустоты. Cisco Talos обнаружили, что команда быстро переобулась в бренд Chaos. Эти «Новички» используют классический вишинг. Заваливают жертву спамом с просьбой «срочно перезвонить в техподдержку», а по телефону уговаривают запустить Microsoft Quick Assist. Получив доступ, устанавливают RMM-инструменты вроде AnyDesk и ScreenConnect для постоянного присутствия. Технически всё знакомо — разведка через ipconfig и nltest, сброс паролей доменных учёток, отключение MFA. Данные воруют легитимным GoodSync, замаскированным под wininit.exe, а шифровальщик работает через ECDH и AES-256. Параметры шифрования и структура записок практически копируют BlackSuit. Только вместо /id теперь /lkey)) За несколько месяцев работы по этой схеме Chaos успели обработать Optima Tax Relief, Армию спасения и Berkeley Research Group. НеКасперский