Платим блогерам
Блоги
Anykey911
Тенденция, наблюдаемая в атаках в этом году, свидетельствует о склонности к атакам на хосты с подключениями к удаленным рабочим столам

Недавние атаки операторов программ-вымогателей Ryuk показывают, что у злоумышленников появились новые предпочтения, когда дело доходит до получения первоначального доступа к сети жертвы. Тенденция, наблюдаемая в атаках в этом году, свидетельствует о склонности к атакам на хосты с подключениями к удаленным рабочим столам, доступными в общедоступном Интернете. Более того, использование целевых фишинговых писем для доставки вредоносного ПО по-прежнему является предпочтительным направлением заражения.

реклама

Исследователи в области безопасности из компании по анализу угроз Advanced Intelligence (AdvIntel) отметили, что атаки программ-вымогателей Ryuk в этом году чаще основывались на компрометации открытых RDP-соединений, чтобы получить первоначальную точку опоры в целевой сети. Злоумышленники проводили «крупномасштабные атаки с использованием грубой силы на открытые хосты RDP», чтобы скомпрометировать учетные данные пользователей.

Еще одним направления первоначального взлома был целевой фишинг и использование  кампании BazaCall для распространения вредоносных программ через фальшивые коллцентры, которые предназначались для корпоративных пользователей и перенаправляли их на документы Excel, с вредоносными макросами.

Исследователи AdvIntel утверждают, что злоумышленники Ryuk проводили разведку жертвы в два этапа. На первом этапе определились ценные ресурсы в скомпрометированном домене (общие сетевые ресурсы, пользователи, организационные единицы Active Directory). Второй этап состоит в том, чтобы найти информацию о доходах компании, чтобы установить сумму выкупа, которую жертва может позволить себе заплатить за восстановление систем.

Для поиска информации операторы программ-вымогателей Ryuk полагаются на испытанный и проверенный AdFind (инструмент запросов AD) и инструмент эксплуатации Bloodhound, который ищет в Active Directory (AD) пути атаки.

Получение финансовых сведений о жертве зависит от данных из открытых источников. AdvIntel сообщает, что субъекты ищут в таких сервисах, как ZoomInfo, информацию о недавних слияниях и поглощениях компании, а также другие детали, которые могут повысить прибыльность атаки. Дополнительная разведка выполняется с помощью инструмента пост-эксплуатации Cobalt Strike, который стал стандартом для большинства операций с программами-вымогателями и сканирования.

Среди новых методов, которые исследователи увидели в атаках программ-вымогателей Ryuk, было использование KeeThief, инструмента с открытым исходным кодом для извлечения учетных данных из диспетчера паролей KeePass. KeeThief извлекает ключевой материал (например, мастер-пароль, ключевой файл) из памяти запущенного процесса KeePass с разблокированной базой данных. Виталий Кремез, генеральный директор AdvIntel, сообщил, что злоумышленники использовали KeeThief для обхода EDR и других средств защиты путем кражи учетных данных местного IТ-администратора, имеющего доступ к программному обеспечению EDR. Еще одна тактика заключалась в развертывании портативной версии Notepad ++ для запуска сценариев PowerShell в системах с ограничением выполнения PowerShell, говорит Кремез.

По данным AdvIntel, атаки программ-вымогателей Ryuk в этом году используют две уязвимости для увеличения разрешений на скомпрометированной машине. Для обоих уязвимостей доступны исправления. Еще одно наблюдение от AdvIntel заключается в том, что недавняя атака программы-вымогателя Ryuk использовала инструмент проникновения CrackMapExec с открытым исходным кодом для извлечения учетных данных администратора и перемещения по сети жертвы.

«После того, как субъекты успешно скомпрометировали локальную учетную запись или учетную запись администратора домена, они распространяют полезную нагрузку Ryuk через объекты групповой политики, сеансы PsExec с контроллера домена или с помощью элемента запуска в общей папке SYSVOL» -  Advanced Intelligence.

1
Показать комментарии (1)

Популярные новости

Сейчас обсуждают