#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет "SystemBC" работает с более чем 80 серверами командования и контроля и ежедневно компрометирует около 1500 жертв, в основном Виртуальные выделенные серверы (VPS) от крупных провайдеров. В отличие от типичных ботнет, использующих стационарные устройства, SystemBC фокусируется на большом объеме вредоносного трафика через VPS, чтобы избежать обнаружения, позволяя передавать данные объемом более 16 гигабайт за 24 часа. Первоначально связанная с программами-вымогателями, она превратилась в платформу для продажи специализированных ботнет-сетей, делая упор на объем и тактику грубой силы, а не на скрытность, распространенную в традиционных стратегиях ботнет-атак.
-----

Команда Black Lotus Labs из Lumen Technologies обнародовала важные данные, касающиеся ботнет "SystemBC", который состоит из более чем 80 серверов командования и контроля (C2s) и ежедневно насчитывает в среднем 1500 жертв. Примечательно, что около 80% этих жертв являются скомпрометированными Виртуально выделенными серверами (VPS) крупных коммерческих провайдеров. Вместо использования стационарных устройств, которые типичны для аналогичных прокси-сетей, SystemBC использует системы VPS для создания прокси, способных генерировать большие объемы вредоносного трафика. Такой подход обеспечивает устойчивое использование высокой пропускной способности без типичных проблем, связанных с предупреждением пользователей или потенциальными сбоями в работе.

Злоумышленники часто стремятся скрыть свою деятельность, чтобы избежать обнаружения жертвами или правоохранительными органами. Хотя инструменты анонимности, такие как TOR, обеспечивают некоторую степень защиты, они также обладают недостатками низкой пропускной способности и нестабильности. Это привело к росту интереса к прокси-сервисам, таким как NSOCKS и ProxyAM, которые используют широкий спектр стационарных устройств для маршрутизации трафика. SystemBC, отслеживаемая в течение нескольких месяцев, по-видимому, легко интегрируется с другими криминальными операциями, что подчеркивает ее роль в более широкой экосистеме киберугроз.

Анализ инфраструктуры показывает, что пользователи подключаются к SystemBC C2s через порты с высокими номерами, которые затем направляют трафик через скомпрометированные VPS-жертвы. Такой выбор VPS в пользу стационарных устройств является отходом от типичного поведения ботнет, вместо этого он фокусируется на поддержании значительного объема трафика. За период исследования аналитики отметили в среднем 1500 работающих ботов, включая 300 подключенных к ботнете GoBrut, что отражает разнообразные операционные возможности ботнет.

Что касается производительности прокси—сервера, SystemBC выделяется тем, что предлагает значительно более высокие объемы передачи данных - часто превышающие обычные ограничения на уровне гигабайт, наблюдаемые в большинстве прокси-сетей. Использование VPS позволяет операторам обойти типичные ограничения, налагаемые стационарными устройствами, которые подвержены нестабильности сети и повышенным шансам попадания в черный список из-за чрезмерного трафика. Такое отсутствие заботы о скрытности позволяет SystemBC работать в большем объеме, но вызывает вопросы о ее долгосрочной устойчивости. Анализ показал, что некоторые IP-адреса способны генерировать более 16 гигабайт данных прокси-сервера всего за 24 часа, что резко контрастирует с обычными функциями прокси-сервера.

Наконец, сохраняющаяся устойчивость и долговечность работы SystemBC характеризуют ее как постоянную угрозу в киберпространстве. Первоначально обслуживавший операции с программами-вымогателями, он превратился в платформу для сборки и продажи специализированных ботнет. Его акцент на объемах и тактике грубой силы с использованием VPS-систем отличает его от более традиционных и скрытных стратегий ботнет на базе SOHO. Эта эволюция подчеркивает необходимость бдительности и адаптивных мер перед лицом такого сложного поведения злоумышленников.

#ParsedReport #CompletenessHigh
18-09-2025

CountLoader: Silent Push Discovers New Malware Loader Being Served in 3 Different Versions

https://www.silentpush.com/blog/countloader/

Report completeness: High

Threats:
Countloader
Lockbit
Blackbasta
Qilin_ransomware
Cobalt_strike_tool
Adaptixc2_tool
Squiblydoo
Vidar_stealer
Emmenhtal
Bitsadmin_tool
Lolbin_technique
Purehvnc_tool
Lumma_stealer
Domain_fronting_technique

Victims:
Individuals, Citizens

Geo:
Ukraine, Russian, Russia, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1059.001, T1059.005, T1071.001, T1105, T1140, T1204.002, T1566.001, T1583.001

IOCs:
File: 15
Domain: 16
Url: 9
Registry: 2
Coin: 1
Hash: 8
IP: 5

Soft:
DeepSeek, Chrome, Curl, Internet Explorer, Yandex browser, SAP NetWeaver

Algorithms:
sha256, base64, xor

Functions:
Connect, GetUpdates, Main, b

Win Services:
bits

Languages:
python, jscript, powershell

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Silent Push сообщила о "CountLoader", новом загрузчике вредоносного ПО, связанном с российскими бандами вымогателей, который проявляется в версиях .NET, PowerShell и JScript. Вариант JScript, самый сложный, содержит 850 строк запутанного кода и взаимодействует через определенный путь API. Кроме того, были выявлены ссылки на Cobalt Strike и нетрадиционные методы хранения вредоносного ПО акторами LockBit, что подчеркивает эволюцию тактики в киберугрозах.
-----

Silent Push выявил новый загрузчик вредоносного ПО под названием "CountLoader", связанный с различными российскими бандами вымогателей. Эта развивающаяся угроза наблюдалась в трех различных формах versions-.NET , PowerShell и JScript. Развертывание CountLoader было особенно заметно в ходе недавней кампании по фишингу, которая была нацелена на отдельных лиц в Украине путем Маскировки под украинскую полицию, что еще раз указывает на его связь с российскими злоумышленниками.

В ходе расследования аналитики обнаружили, что CountLoader взаимодействует через домены, используя уникальный шаблон, в частности, используя путь "/api/GetFile?fn=". Первоначальный анализ показал, что JScript-вариант CountLoader выделяется как наиболее функциональный и продвинутый, содержащий около 850 строк кода и предоставляемый жертвам в виде запутанного hta-файла. После выполнения эта версия проверяет, была ли она уже инициализирована в целевой системе, проверяя URL-адрес выполнения.

.NET-версия CountLoader также была тщательно изучена, особенно в связи с доменом C2 ms-team-ping2.com , который, как было обнаружено, управляет запросами задач на получение двоичных файлов. И наоборот, версия PowerShell была менее сложной и содержала всего около 20 строк кода, что отражало простую стратегию выполнения.

Расследование также выявило связи с Cobalt Strike, инструментом, который часто используется для тестирования на проникновение, но также используется не по назначению в киберпреступной деятельности. Аналитики извлекли важную конфигурацию C2, связанную с CountLoader, из различных образцов Cobalt Strike, подчеркнув наличие уникальных водяных знаков, которые идентифицируют конкретные экземпляры Cobalt Strike. Такие домены, как misctoolsupdate.com были связаны с функциями командования и контроля Cobalt Strike.

Кроме того, в соответствующем внешнем отчете указано, что акторы-вымогатели, конкретно связанные с LockBit, использовали нетрадиционные методы для организации вредоносного ПО, сохраняя Вредоносные файлы в папке Windows Music, менее типичном каталоге для этих операций.

Поскольку с появлением Countrloader ситуация с угрозами продолжает меняться, Silent Push призывает организации проводить всесторонние расследования при обнаружении любой активности Countrloader и сохранять бдительность в отношении последующих выпусков полезной нагрузки и ее использования.

В отчете подчеркивается необходимость постоянного мониторинга и анализа аналогичных загрузчиков вредоносного ПО для снижения потенциальных рисков, связанных с развивающимися киберугрозами.

#ParsedReport #CompletenessLow
18-09-2025

FBI FLASH

https://www.ic3.gov/CSA/2025/250912.pdf

Report completeness: Low

Actors/Campaigns:
Unc6040 (motivation: information_theft)
Unc6395 (motivation: information_theft)
Shinyhunters

Victims:
Salesforce users, Customer support teams

Industry:
Government

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1550.001, T1566, T1598.004

IOCs:
IP: 100
Url: 4

Soft:
Salesforce, Salesloft Drift

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Оперативный отчет ФБР раскрывает деятельность двух киберпреступных группировок, UNC6040 и UNC6395, нацеленных на платформы Salesforce с целью кражи данных и вымогательства. UNC6040 использует тактику социальной инженерии, такую как голосовой фишинг, для получения несанкционированного доступа, выдавая себя за службу ИТ-поддержки, в то время как UNC6395 использует скомпрометированные токены OAuth из приложения Salesloft Drift для доступа к информации о клиентах в учетных записях Salesforce. Обе группы выделяют эволюционирующие методы, используемые при киберугрозах для облегчения эксфильтрации данных.
-----

ФБР опубликовало оперативный отчет, освещающий деятельность двух киберпреступных группировок, UNC6040 и UNC6395, которые все чаще совершают кражи данных и вымогательства, нацеленные на платформы Salesforce. Этот отчет направлен на повышение осведомленности и предоставление индикаторов компрометации (IOCs), чтобы помочь специалистам по кибербезопасности укрепить свою защиту от этих угроз.

Группа UNC6040 действует с октября 2024 года и в основном использует тактику социальной инженерии, в частности голосовой фишинг (vishing), для получения несанкционированного доступа к учетным записям Salesforce. Они часто выдают себя за сотрудников ИТ-службы поддержки, связываясь с жертвами через колл-центры, утверждая, что помогают решить проблемы с подключением предприятия. Используя это доверие, акторы UNC6040 успешно обманывают сотрудников службы поддержки клиентов, заставляя их выполнять действия, которые предоставляют злоумышленникам доступ к учетным данным сотрудников. Этот метод позволяет им проникать в экземпляры Salesforce, что приводит к эксфильтрации конфиденциальных данных клиентов.

В отличие от этого, UNC6395 был идентифицирован как совершающий другую форму атаки. Эта группа была известна своей кампанией по краже данных, нацеленной на Salesforce, с августа 2025 года. Они используют скомпрометированные токены OAuth, связанные с приложением Salesloft Drift, которое представляет собой чат-бота с искусственным интеллектом, который интегрируется с Salesforce. Используя эти токены, UNC6395 получает несанкционированный доступ к информации о клиентах, хранящейся в целевых учетных записях Salesforce.

Обе группы иллюстрируют эволюционирующую тактику, применяемую киберугрозами, направленную на использование существующих платформ и инструментов для получения несанкционированного доступа и проведения мероприятий по эксфильтрации данных. Распространение ФБР информации о МОК, связанных с этими группами, направлено на повышение осведомленности о ситуации и оказание помощи правозащитникам в снижении рисков, создаваемых такими постоянными кибер-акторами.

#ParsedReport #CompletenessHigh
18-09-2025

Cyberspike Villager Cobalt Strikes AI-native Successor

https://www.straiker.ai/blog/cyberspike-villager-cobalt-strike-ai-native-successor

Report completeness: High

Threats:
Cobalt_strike_tool
Villager_tool
Supply_chain_technique
Asyncrat
Dcrat
Venomrat
Mimikatz_tool
Wpscan_tool

Industry:
Software_development

Geo:
China, Chinese

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 3
Hash: 1
File: 3
IP: 2
Url: 1
Email: 2

Soft:
Linux, DeepSeek, Discord, macOS, Docker, LangChain, OpenAI, WordPress

Functions:
pyeval, os_execute_cmd, Task-Based, TaskRelationManager

Languages:
python

Links:
https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp/blob/master/README.md

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Платформа Villager, основанная на искусственном интеллекте, разработанная китайской компанией Cyberspike, автоматизирует наступательные операции по кибербезопасности и за два месяца собрала около 10 000 загрузок с PyPI. Объединяя инструменты из моделей Kali Linux и DeepSeek AI, Villager снижает барьер для проведения продвинутых тестов на проникновение, потенциально облегчая вредоносную деятельность менее квалифицированных акторов. Его архитектура включает в себя систему управления на основе задач, которая использует обработку естественного языка для динамической оптимизации сложных задач, что знаменует собой переход от традиционных методов ручного тестирования.
-----

Китайская компания Cyberspike, известная разработкой инструментов тестирования на проникновение, представила "Villager" - фреймворк на основе искусственного интеллекта, предназначенный для автоматизации различных аспектов наступательных операций по кибербезопасности. Этот инструмент, выпущенный на базе индекса пакетов Python (PyPI), вызвал значительный интерес, достигнув примерно 10 000 загрузок за первые два месяца. Villager объединяет компоненты Kali Linux с моделями искусственного интеллекта DeepSeek для оптимизации и усовершенствования рабочих процессов тестирования на проникновение, тем самым сокращая технические навыки и время, необходимые для выполнения сложных кибератак. Такой низкий барьер для входа и мощная автоматизация усиливают опасения по поводу возможностей двойного назначения, поскольку это может способствовать как законной оценке безопасности, так и злонамеренным кибератакам со стороны менее квалифицированных акторов.

Последствия доступности для сельского жителя существенны. Используя надежное хранилище программного обеспечения, такое как PyPI, потенциальные злоумышленники могут легко получить и интегрировать этот инструмент в свои операции. Этот сценарий повторяет траекторию, установленную Cobalt Strike, законным инструментом red team, который был перепрофилирован различными преступными группировками. Автоматизация и простота использования, предоставляемые Villager, могут привести к ускорению жизненного цикла атак и, соответственно, к увеличению сложности обнаружения и принятия ответных мер на предприятиях. Особого внимания заслуживает архитектура Villager; она работает с использованием системы командования и контроля на основе задач (C2), оснащенной интерфейсом FastAPI, который облегчает интеллектуальное управление задачами с помощью стандартизированных выходных данных.

Villager использует передовые возможности искусственного интеллекта, такие как обработка естественного языка, позволяя пользователям отдавать команды в виде обычного текста. Это нововведение позволяет фреймворку легко выполнять сложные и адаптивные тесты. Например, при идентификации приложения WordPress Villager автономно запускает WPScan или изменяет свой подход к автоматизации браузера, если распознана конечная точка API, обеспечивая успешное выполнение каждой задачи перед переходом к следующей. Это представляет собой значительную эволюцию по сравнению с традиционными стратегиями тестирования пера, которые зависят от заранее подготовленных сценариев.

#ParsedReport #CompletenessHigh
17-09-2025

Malicious PyPI Packages Deliver SilentSync RAT

https://www.zscaler.com/blogs/security-research/malicious-pypi-packages-deliver-silentsync-rat

Report completeness: High

Threats:
Silentsync
Typosquatting_technique
Supply_chain_technique

Victims:
Software supply chain, Python developers, Healthcare data users

Industry:
Government, Healthcare

Geo:
Argentina

TTPs:
Tactics: 5
Technics: 5

IOCs:
Email: 2
Url: 1
Registry: 1
IP: 1
Hash: 3

Soft:
Chrome, Firefox, curl, Linux, macOS, crontab

Algorithms:
base64, zip

Functions:
search

Languages:
python

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июле и августе 2025 года Zscaler ThreatLabZ обнаружил три вредоносных пакета на Python в PyPI — termncolor, sisaws и secmeasure, связанных с трояном удаленного доступа SilentSync. Эта RAT нацелена на системы Windows, обеспечивая удаленное выполнение команд, эксфильтрацию файлов и кражу данных из веб-браузеров через жестко закодированный IP-адрес Base64 для своего сервера C2. Пакет sisaws использует typosquatting и имитирует законное программное обеспечение, сохраняя при этом закрепление для выполнения вредоносных операций, что подчеркивает растущие риски в безопасности supply chain программного обеспечения.
-----

В июле и августе 2025 года Zscaler ThreatLabZ идентифицировал три вредоносных пакета Python в индексе пакетов Python (PyPI): termncolor, sisaws и secmeasure. Эти пакеты связаны с трояном удаленного доступа (RAT) под названием SilentSync, предназначенным для удаленного выполнения команд, эксфильтрации файлов, захвата экранов и кражи данных браузера, включая учетные данные, историю просмотров и файлы cookie из популярных веб-браузеров, таких как Chrome, Brave, Edge и Firefox. Вредоносные пакеты специально нацелены на системы Windows, используя HTTP для связи с их сервером управления (C2), который использует жестко закодированный IP-адрес, который хранится в Base64 и декодируется во время выполнения.

Пакет sisaws использует методы typosquatting, Маскировки под законный пакет sisa, который взаимодействует с национальной информационной системой здравоохранения Аргентины. Пакет sisaws повторяет ключевые функции sisa, позволяя ему запрашивать номера национальных документов, удостоверяющих личность пользователей (DNI), и получать доступ к процессам проверки медицинского страхования. В тандеме с sisaws пакет secmeasure претендует на роль библиотеки для очистки строк и мер безопасности, но в конечном счете служит той же цели - развертыванию SilentSync под видом законной утилиты.

SilentSync поддерживает закрепление в зараженных системах с помощью специфичных для платформы методов, которые гарантируют его запуск после перезагрузки или входа в систему. Эта функциональность позволяет ит-службе непрерывно выполнять вредоносные операции, включая сбор данных и выполнение команд. RAT может извлекать полные каталоги, сжимая их в ZIP-файлы, чтобы избежать обнаружения, и впоследствии удалять любые следы после сбора данных.

Идентификация этих вредоносных пакетов подчеркивает растущую угрозу атак supply chain в репозиториях программного обеспечения, подчеркивая необходимость тщательного изучения программного обеспечения, даже из авторитетных источников, для предотвращения таких скрытых угроз. По мере развития этих инцидентов основное внимание должно по-прежнему уделяться пониманию тактики, используемой злоумышленниками, чтобы опережать потенциальные риски кибербезопасности.

#ParsedReport #CompletenessHigh
18-09-2025

Hive0154, aka Mustang Panda, drops updated Toneshell backdoor and novel SnakeDisk USB worm

https://www.ibm.com/think/x-force/hive0154-drops-updated-toneshell-backdoor

Report completeness: High

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)

Threats:
Toneshell
Snakedisk_tool
Yokai
Tonedisk_tool
Pubload
Junk_code_technique
Cobalt_strike_tool
Dll_sideloading_technique
Robocopy_tool
Pubshell
Wisprider
Plugx_rat

Victims:
Public sector, Private sector, Think tanks, Policy groups, Government agencies, Individuals

Industry:
Military, Maritime, Government

Geo:
Thailand, Malaysia, Asia, China, Myanmar, Cambodia, Cambodian, Singapore

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1027, T1036.005, T1090.003, T1091, T1106, T1140, T1204.002, T1547.013, T1566.001, have more...

IOCs:
File: 14
IP: 6
Hash: 2
Registry: 1
Path: 10
Url: 2
Command: 3
Coin: 2
Domain: 1

Soft:
Instagram, OpenAI, ChatGPT, Dropbox

Algorithms:
xor, crc-32, prng, sha256

Functions:
_rand

Win API:
NetBIOS, CreateMutexW, GetMessageW, TranslateMessage, DispatchMessageW, SHFIleOperationW, CopyFileW

Languages:
php

Links:
https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/ibm-xti

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Hive0154, также известный как Mustang Panda, нацелен на Восточную Азию с помощью продвинутого вредоносного ПО, включая бэкдор Toneshell и USB-Worm. Toneshell9, новая версия, избегает обнаружения и обменивается данными через прокси-серверы при выполнении в качестве загружаемой сбоку библиотеки DLL, а также использует маяки сердцебиения для связи C2. SnakeDisk, разработанный специально для тайских сетей, использует аналогичные методы DLL Sideloading и заражает USB-накопители, отключая бэкдор Yokai для удаленного выполнения команд, что указывает на изощренную разработку вредоносного ПО злоумышленником.
-----

Hive0154, также известный как Mustang Panda, специализируется на кибершпионаже в Восточной Азии. Группа использует обновленное вредоносное ПО, включая бэкдор Toneshell и USB-червя под названием SnakeDisk. Toneshell9 - это недавнее обновление, которое позволяет избежать обнаружения, используя связь управления через локально настроенные прокси-серверы. Он устанавливает две обратные оболочки и каждые 30 секунд отправляет сердечные сокращения, содержащие коды ответа. Toneshell9 выполняется как загруженная сбоку DLL-библиотека из защищенного RAR-архива с BAT-файлом, который запускает законный исполняемый файл. SnakeDisk, обнаруженный в августе 2025 года, запускается на устройствах, подключенных к сетям в Таиланде, используя DLL sideloading и разрешение API, аналогичное Toneshell9. Он обнаруживает и заражает подключенные USB-накопители, отключая бэкдор Yokai для удаленного выполнения команд. SnakeDisk идентифицирует USB-устройства с "горячим подключением" для заражения на основе наличия существующего вредоносного ПО. Существует значительное перекрытие кода между SnakeDisk и предыдущими итерациями Tonedisk. Hive0154 имеет сложную структуру с различными инструментами вредоносного ПО, адаптированными для целей государственного и частного секторов.

#ParsedReport #CompletenessMedium
18-09-2025

KAWA4096 ransomware aimed at the brand effect through imitation

https://asec.ahnlab.com/ko/90189/

Report completeness: Medium

Actors/Campaigns:
Kawa4095

Threats:
Kawalocker
Qilin_ransomware
Qtox_tool
Shadow_copies_delete_technique
Ransomware/win.kawacrypt.c5774792
Ransomware/win.kawacrypt.c5783637
Ransom/mdp.command.m1026
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1785
Akira_ransomware

Victims:
Multinational organizations, Financial sector, Education sector, Services sector

Industry:
Education

Geo:
Japan

TTPs:

ChatGPT TTPs:
do not use without manual check
T1047, T1486, T1490, T1651

IOCs:
File: 8
Command: 1
Hash: 3

Soft:
firefox, outlook, wordpad, TOR browser

Algorithms:
salsa20, md5

Win API:
MINIDUMPWRITEDUMP, Createmutexa, LoadResource, FindResourcew

Win Services:
sqlservr, powerpnt

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель KAWA4096, нацеленная на многонациональные организации, главным образом в Японии и США, использует сайт утечки данных на базе TOR и использует метод двойного расширения для сбора и шифрования данных после атаки. Он обладает уникальной возможностью повторного запуска шифрования с использованием коэффициента a -lle, усложняющего дешифрование, и выборочно шифрует файлы, исключая при этом критически важные системные файлы, тем самым максимизируя воздействие. Примечательно, что он удаляет резервные копии данных с помощью команд, влияющих на shadow copies томов, что отражает растущую сложность угроз программ-вымогателей.
-----

Программа-вымогатель KAWA4096, появившаяся в июне 2025 года, представляет собой угрозу, нацеленную на многонациональные организации, главным образом в Японии и Соединенных Штатах, без ограничений для конкретных секторов промышленности, включая финансы, образование и услуги. Группа управляет сайтом утечки данных на базе TOR для раскрытия информации о жертвах. Его тактика включает метод двойного расширения, который позволяет ему захватывать и шифровать данные после атаки. Каждой жертве присваивается уникальный URL-адрес заявки для управления данными, указывающий на организованную операционную структуру. В настоящее время не разглашаются подробности о суммах выкупа или процессах переговоров.

Примечательной особенностью KAWA4096 является его способность повторно запускать процесс шифрования с использованием коэффициента -lle, не требуя этого изначально, что усложняет его расшифровку. На этапе подготовки к шифрованию аналитики выявили 17 настроек в разделе ресурсов программы-вымогателя, в то время как были предоставлены сведения о пяти из этих элементов, что намекает на сложную конфигурацию.

На этапе шифрования KAWA4096 выборочно нацеливается на файлы и каталоги на основе своих предопределенных настроек, гарантируя исключение системных и критически важных файлов для максимального воздействия. Он использует стратегию частичного шифрования, позволяющую ускорить процесс шифрования, шифруя только сегменты каждого файла, а не весь файл целиком. Этот метод эффективно компрометирует важные файлы, такие как документы и базы данных, делая их недоступными, даже если они не полностью зашифрованы.

Уведомления о выкупе, выпущенные KAWA4096, имеют поразительное сходство с сообщениями программы-вымогателя Qilin, что указывает на общую тактику среди групп вымогателей. В примечаниях сообщается о жертвах нападения, упоминается об утечке данных, содержится угроза публичного разоблачения и контактные данные для переговоров.

Кроме того, KAWA4096 использует метод удаления резервных копий данных путем выполнения команд, связанных с shadow copies томов, используя Win32_process: Create в WMI для запуска этих действий. Этот метод еще больше усложняет потенциальные усилия по восстановлению для пострадавших организаций, подчеркивая эволюционирующий характер и растущую изощренность угроз, связанных с программами-вымогателями.