Эксперты Лаборатории цифровой криминалистики компании F.A.C.C.T. предупреждают об активизации в России программ-вымогателей LokiLocker и BlackBit. Треть всех жертв этих шифровальщиков по всему миру находятся в РФ — 21 компания. Вымогатели требуют выкуп до $100 000 (до 8 млн рублей) за расшифровку данных атакованной компании, но при этом не похищают информацию и не шифруют файлы на компьютерах, где выбран персидский в качестве основного языка интерфейса.
Первые атаки программ-вымогателей из семейства LokiLocker эксперты Лаборатории цифровой криминалистики зафиксировали весной 2022 года на Ближнем Востоке, хотя сам шифровальщик появился годом раньше, летом 2021 года. В дальнейшем атаки с использованием LokiLocker, который распространяется по партнерской программе RaaS (Ransomware-as-a-Service, «вымогательство как услуга»), были замечены по всему миру.
В России наряду с LokiLocker для атак на средний и малый бизнес злоумышленники использовали новый «родственный» шифровальщик под брендом BlackBit. По своему функционалу он практически идентичен LokiLocker, основное отличие состоит лишь в нейминге: для зашифрованных файлов используется расширение. BlackBit.
Несмотря на то, что партнеры, взявшие на вооружение LokiLocker и BlackBit, не похищают у своих жертвы данные и не выкладывают их на Data Leak Site (DLS) для дальнейшего шантажа, криминалистам F.A.C.C.T. удалось раскрыть, кого именно атакуют вымогатели, используя данные, полученные при реагированиях на инциденты и анализе сторонних источников, в том числе с портала VirusTotal.
