Новый опасный ransomware шифрует файлы без подключения к интернету

Специалисты из Forcepoint X-Labs предупреждают о массовой фишинговой кампании, распространяющей ransomware под названием Global Group. Это не обычное вредоносное ПО — оно способно шифровать данные полностью офлайн, без подключения к серверам хакеров.

Атака начинается с якобы безобидного письма от начальника или знакомого. Вложение выглядит как документ PDF, но на самом деле это поддельный ярлык Windows (.lnk) с двойным расширением, например, «Document.doc.lnk». При клике запускается цепочка команд PowerShell, которая загружает основной вредоносный код.

Global Group обладает уникальной особенностью — он генерирует ключи шифрования локально, используя алгоритм «ChaCha20-Poly1305». Это означает, что программа-вымогатель может работать даже в полностью изолированных сетях. Вредоносное ПО шифрует файлы, добавляя расширение «.Reco», удаляет резервные копии Windows и оставляет записку с требованием выкупа, ведущую на сайт в сети Tor.

Кампания продолжается с 2024 года и использует ботнет Phorpiex, активный с 2010 года. Эксперты предупреждают, что традиционные методы мониторинга сети бессильны против этой угрозы.