Эксперты компании F.A.C.C.T. зафиксировали новую группу кибервымогателей, атакующих российский бизнес. Хакеры активны с декабря 2023 года, но раскрыть детали их деятельности получилось только сейчас. Уже известно и о реальной жертве, в январе у злоумышленников получилось обойти защиту и зашифровать Windows-системы и виртуальную инфраструктуру VMware ESXi одной компании.
Группировке дали название Muliaka. Этому, в частности, послужил адрес почты вымогателей – kilamulia@proton.me.
Шифрование данных происходит с помощью вредоноса, слепленного из утёкших исходных кодов вымогателя Conti 3. А запускается вредоносная активность на устройстве с помощью популярного корпоративного антивируса, название которого специалисты не раскрыли. То есть, защитное ПО не только не справляется с угрозой, но и помогает ей. Для большей скрытности хакеры выждали 2 недели после проникновения в инфраструктуру, прежде чем начать шифрование данных.
Возможно, количество жертв новой хакерской группировки начнёт резко увеличиваться в ближайшее время. Начальный вектор атак и более детальные подробности деятельности хакеров пока не раскрыты.
Однако, эксперты подозревает, что группировка относится к числу проукраинских. Этому есть единственное подтверждение – все вредоносные образцы были загружены на VirusTotal с территории Украины.