Термит — это оператор программ-вымогателей (шифрование, кража данных, вымогательство), который недавно заявил о нескольких жертвах во Франции, Канаде, Германии, Омане и США. Их атаки нацелены на такие секторы, как государственные учреждения, образование, нефтегазовая промышленность, водоочистка и автомобилестроение. Логотип группы представляет собой стилизованного синего термита с элементами, напоминающими электронные схемы.
Группа, по всей видимости, использует модифицированную версию печально известного вымогательского ПО Babuk. После запуска вируса на устройстве файлы шифруются, и к их названиям добавляется расширение .termite. Также оставляется записка с требованиями выкупа (How To Restore Your Files.txt) с кратким описанием действий. Преступники предоставляют ссылку на свой Onion-сайт, а также уникальный токен и адрес электронной почты для связи. На сайте жертвам предлагается форма для прямой коммуникации, в которой нужно указать название компании, описание ситуации, полное имя, адрес электронной почты и "токен поддержки".
Полный метод работы злоумышленников пока не раскрыт, но они, вероятно, используют типичные тактики и процедуры, применяемые большинством операторов программ-вымогателей. Это включает получение начального доступа через фишинг, эксплуатацию уязвимостей или покупку учетных данных, а также повышение привилегий для управления сетью. Они похищают конфиденциальные данные одновременно с шифрованием файлов и угрожают опубликовать украденную информацию, если выкуп не будет выплачен. Кроме того, преступники отключают резервные копии и средства защиты, чтобы усложнить восстановление данных. Коммуникация с жертвами осуществляется через записки, зашифрованные каналы и сайты в сети TOR. Выкуп обычно требуют в криптовалюте.
Компания Symantec, входящая в группу Broadcom, защищает от этой угрозы следующими способами:
На основе решения VMware Carbon Black
Связанные вредоносные индикаторы блокируются и обнаруживаются существующими политиками в продуктах VMware Carbon Black. Рекомендуется как минимум заблокировать запуск всех типов вредоносных программ (известных, подозрительных и PUP) и включить задержку выполнения для проверки в облаке, чтобы максимально использовать преимущества службы репутации VMware Carbon Black Cloud.