SuperBlack Ransomware: еще одна угроза, которой следует избегать

Понимание программы-вымогателя SuperBlack

SuperBlack — это вариант вируса-вымогателя, который, как полагают, произошел от семейства вирусов-вымогателей LockBit 3.0 . Эта инфекция шифрует файлы и требует выкуп за их расшифровку, не оставляя жертвам практически никаких возможностей для восстановления файлов, если у них нет резервных копий. После заражения SuperBlack переименовывает файлы, добавляя случайную строку к их исходным именам. Например, файл с именем «document.pdf» может стать «document.pdf.fB1SZ2i3X».

Помимо шифрования данных, SuperBlack изменяет обои рабочего стола жертвы и оставляет записку с требованием выкупа, озаглавленную случайно сгенерированной строкой (например, «[random_string].README.txt»). Записка с требованием выкупа инструктирует жертву о том, как связаться с злоумышленниками, и предостерегает от использования сторонних инструментов восстановления, утверждая, что они могут навсегда повредить зашифрованные файлы.

Вот что говорится в записке о выкупе:

>>>> Your data are stolen and encrypted!

>>>> Sensitive data on your system was DOWNLOADED and it will be PUBLISHED if you refuse to cooperate. Your competitors or law enforcement may get them on the web.

Data includes:
- Employees personal data, CVs, DL, SSN.
- Complete network map including credentials for local and remote services.
- Financial information including clients data, bills, budgets, annual reports, bank statements.
- Complete datagrams/schemas/drawings for manufacturing in solidworks format
- And more...

You can request the tree of files that we have.

>>>> You need contact us and decrypt one file for free, send a small file for test decryption with your personal DECRYPTION ID to tox chat:

>>>> Your personal DECRYPTION ID: 7FBC34A4128F7B75E19B7F2A4E1938A0

1)Download and install TOX chat: hxxps://tox.chat
2)Write to this tox id: DED25DCB2AAAF65A05BEA584A0D1BB1D55DD 2D8BB4185FA39B5175C60C8DDD0C0A7F8A8EC815 and wait for the answer, we will always answer you.

>>>> DO NOT MODIFY FILES YOURSELF.
>>>> DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
>>>> YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.
>>>> YOUR DATA IS STRONGLY ENCRYPTED, YOU CAN NOT DECRYPT IT WITHOUT CIPHER KEY.

Тактика и цели SuperBlack Ransomware

SuperBlack в основном используется киберпреступной группой, известной как «Mora_001», предположительно русскоязычной группой угроз. Эта кампания по вымогательству была наиболее активна в период с января по март 2025 года. Группа проникает в системы жертв, шифрует их файлы и крадет конфиденциальные данные. Украденная информация включает сетевые данные, финансовые записи, производственные данные и личную информацию сотрудников и клиентов.

В записке о выкупе говорится, что если жертва откажется подчиниться, злоумышленники выложат украденные данные в сеть. Чтобы еще больше надавить на своих жертв, злоумышленники предлагают доказать утечку данных, предоставив образец и продемонстрировав расшифровку одного зашифрованного файла. Эта тактика играет на страхе и срочности, увеличивая вероятность того, что жертвы поддадутся требованиям выкупа.

Связь SuperBlack с программой-вымогателем LockBit

Данные свидетельствуют о том, что SuperBlack имеет сходство с программой-вымогателем LockBit, особенно в структуре кода и методах шифрования. Кроме того, SuperBlack был замечен в использовании Tox ID (анонимных идентификаторов сообщений), ранее связанных с операторами LockBit. Однако SuperBlack не использует инфраструктуру LockBit, что указывает на то, что, хотя эти два штамма программ-вымогателей могут быть связаны, они являются отдельными сущностями с отдельными операциями.

В отличие от узконаправленных атак, кампании SuperBlack являются оппортунистическими, то есть они эксплуатируют уязвимые системы без конкретной цели. Известно, что злоумышленники используют уязвимости безопасности в брандмауэрах Fortinet для получения первоначального доступа, после чего они повышают привилегии, устанавливают постоянство и перемещаются по сети. Заключительный этап атаки завершается эксфильтрацией данных с последующим шифрованием файлов.

Что произойдет, если вы заразитесь?

Для большинства атак с использованием программ-вымогателей расшифровка без сотрудничества со стороны злоумышленника практически невозможна. Киберпреступники используют передовые методы шифрования, что затрудняет разработку инструментов расшифровки экспертами по безопасности. SuperBlack не является исключением. Жертвы, у которых нет резервных копий, часто сталкиваются с постоянной потерей данных.

Даже если жертвы заплатят выкуп, никто не может быть уверен, что получит ключ дешифрования. Многие киберпреступные группировки не предоставляют необходимые инструменты даже после оплаты, а оплата только финансирует дальнейшую преступную деятельность. Эксперты по безопасности настоятельно не рекомендуют платить выкуп и вместо этого рекомендуют удалить вредоносное ПО и попытаться восстановить данные из резервных копий.

Как распространяется вирус-вымогатель

Программы-вымогатели, такие как SuperBlack, распространяются через различные векторы атак. Некоторые из наиболее распространенных методов включают:

• Фишинговые письма: злоумышленники используют мошеннические письма, содержащие вредоносные ссылки или вложения, которые запускают программу-вымогатель.
• Использование уязвимостей программного обеспечения: хакеры используют устаревшее или неисправленное программное обеспечение, например уязвимости брандмауэров, чтобы получить доступ.
• Скрытые загрузки: пользователи неосознанно загружают программы-вымогатели, посещая взломанные веб-сайты или нажимая на вредоносные объявления.
• Загрузчики троянов: некоторые вредоносные программы устанавливают программы-вымогатели в качестве вторичной полезной нагрузки без ведома пользователя.
• Пиратское программное обеспечение и кряки: Нелегальные загрузки программного обеспечения часто содержат скрытое вредоносное ПО, включая программы-вымогатели.
• Распространение через съемные носители и сеть: программы-вымогатели могут распространяться через USB-накопители, внешние жесткие диски и даже через локальные сети.

Защитите себя от SuperBlack Ransomware

Предотвращение заражения вирусами-вымогателями требует сочетания проактивных мер безопасности и осведомленности пользователей. Вот несколько рекомендаций по защите от SuperBlack и подобных угроз:

• Сохраняйте резервные копии в нескольких местах: регулярно создавайте резервные копии важных данных на внешних дисках, в облачном хранилище и в автономном хранилище, чтобы обеспечить возможность восстановления.
• Используйте надежные решения безопасности: устанавливайте и поддерживайте в актуальном состоянии антивирусные и антивредоносные средства для обнаружения и блокировки угроз.
• Регулярно обновляйте программное обеспечение: устраняйте уязвимости в операционной системе, брандмауэрах и другом программном обеспечении, чтобы снизить риск атак.
• Будьте осторожны с электронными письмами и ссылками: не открывайте вложения и не переходите по ссылкам от неизвестных отправителей, поскольку они могут содержать программы-вымогатели.
• Загружайте программное обеспечение из надежных источников: используйте только официальные веб-сайты и авторитетные магазины приложений для программного обеспечения и обновлений.
• Ограничьте административные привилегии: ограничьте права пользователей, чтобы предотвратить несанкционированные изменения системных файлов.
• Используйте многофакторную аутентификацию (MFA): повысьте безопасность, потребовав несколько этапов аутентификации для конфиденциальных учетных записей.

Что делать, если вы инфицированы

Если ваша система подверглась атаке вируса-вымогателя SuperBlack, немедленно выполните следующие действия:

1. Отключитесь от сети: изолируйте зараженную систему, чтобы предотвратить распространение вируса-вымогателя на другие устройства.
2. Не платите выкуп: оплата не гарантирует восстановление файлов и может спровоцировать дальнейшие атаки.
3. Удалите вредоносное ПО: используйте программное обеспечение безопасности для сканирования и устранения программ-вымогателей.
4. Попытка восстановления данных: восстановите файлы из резервных копий, если они доступны. Проверьте онлайн-ресурсы безопасности на наличие потенциальных инструментов дешифрования.
5. Сообщить об атаке: уведомить правоохранительные органы и агентства по кибербезопасности, чтобы помочь отследить злоумышленников.

Ключевые моменты

SuperBlack ransomware — это сложная и опасная вредоносная программа, которая шифрует файлы и угрожает утечкой украденных данных, если жертва не выполнит требования выкупа. Хотя она имеет некоторые сходства с LockBit ransomware, она действует независимо, используя собственную инфраструктуру и методологии.

Жертвы никогда не должны платить выкуп, так как это поддерживает преступную деятельность и не гарантирует восстановление данных. Вместо этого им следует сосредоточиться на удалении вредоносного ПО, усилении мер безопасности и регулярном резервном копировании. Оставаясь в курсе событий и применяя лучшие практики кибербезопасности, пользователи могут снизить риск атак программ-вымогателей, таких как SuperBlack.