Не так давно киберпространство столкнулось с атаками нового шифровальщика LostTrust. Однако аналитики выдвинули точку зрения, что LostTrust — это на самом деле переименованный MetaEncryptor. Такой вывод обоснован сходством шифраторов и onion-сайтов для публичного шантажа жертв.
Запуск MetaEncryptor предположительно произошел в августе 2022 года. Несмотря на то, что последние два месяца список жертв на сайте утечек этого шифровальщика не пополняется, за год он успел поразить 12 организаций.
Вредонос LostTrust, заражающий сети Windows, появился в интернете в марте 2023 года. Однако дал знать о себе он только в прошлом месяце, когда начал использовать собственный сайт утечек в сети Tor.
Проведя шифрование файлов, вредонос создает записку. В ней операторы LostTrust объясняют свои действия желанием привлечь внимание к брешам в ИТ-инфраструктуре, на защиту которой не стоит жалеть средств. Также записка содержит персональную ссылку на onion-сайт, буквально являющийся чатом для переговоров о выкупе. По имеющимся данным, у жертв требуют от $100 тыс. до миллионов за дешифратор.
Оказывается, шифраторы почти идентичны и заимствуют код SFile2 (использует SHA-512, AES-256 и RSA-2048). Взаимосвязь шифровальщиков отображает и строка METAENCRYPTING, которую можно увидеть в консоли при исполнении LostTrust.
Получается, сайт утечек LostTrust просто использует шаблон MetaEncryptor. В настоящее время на нем числятся уже 53 жертвы заражения. Причем неизвестно, удаляется ли украденная информация после выкупа или по-прежнему остаётся открытой.