Шифровирусы шумною толпою...

14567810»

Комментарии

  • отредактировано 19 Jan PM
    TeamViewer использовался для взлома сетей в ходе новых атак программ-вымогателей

    Злоумышленники-вымогатели снова используют TeamViewer для получения первоначального доступа к конечным точкам организации и пытаются развернуть шифровальщики на основе утекшего в сеть сборщика программ-вымогателей LockBit.

    TeamViewer — это законный инструмент удаленного доступа, широко используемый в корпоративном мире и ценимый за свою простоту и возможности.

    К сожалению, этот инструмент также пользуется популярностью у мошенников и даже участников программ-вымогателей, которые используют его для получения доступа к удаленным рабочим столам, беспрепятственно сбрасывая и запуская вредоносные файлы.

    TeamViewer снова стал мишенью

    Новый отчет Huntress показывает, что киберпреступники не отказались от этих старых методов и по-прежнему захватывают устройства через TeamViewer, чтобы попытаться установить программы-вымогатели.

    Проанализированные файлы журналов (connections_incoming.txt) в обоих случаях показали соединения из одного и того же источника, что указывает на общего злоумышленника.

    В первой скомпрометированной конечной точке Huntress увидела в журналах множественный доступ сотрудников, что указывает на то, что сотрудники активно использовали программное обеспечение для законных административных задач.

    Во второй конечной точке, которую увидела Huntress и которая работает с 2018 года, в журналах не было активности в течение последних трех месяцев, что указывает на то, что она отслеживается реже, что, возможно, делает ее более привлекательной для злоумышленников.

    В обоих случаях злоумышленники попытались развернуть полезную нагрузку программы-вымогателя, используя пакетный файл DOS (PP.bat), размещенный на рабочем столе, который запускал файл DLL (полезную нагрузку) с помощью команды rundll32.exe.

    pp_bat.jpg

    Судя по IOC, предоставленным Huntress, для атак через TeamViewer используется защищенная паролем библиотека LockBit 3 DLL.

    https://www.bleepingcomputer.com/news/security/teamviewer-abused-to-breach-networks-in-new-ransomware-attacks/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 24 Feb PM
    Новая уязвимость ScreenConnect RCE, использованная в атаках программ-вымогателей

    Компания Sophos опубликовала сегодня отчет, в котором говорится, что обнаруженные ими полезные нагрузки программ-вымогателей были созданы с использованием компоновщика программ-вымогателей LockBit, слитого в сеть разработчиком вредоносного ПО в конце сентября 2022 года.

    В ходе атак Sophos обнаружила следующие образцы: вариант buhtiRansom LockBit, размещенный в 30 различных клиентских сетях, и вторая полезная нагрузка, созданная с использованием утекшего в сеть сборщика Lockbit (и размещенная другим злоумышленником).

    «22 февраля 2024 года компания Sophos X-Ops сообщила через нашу учетную запись в социальных сетях, что, несмотря на недавние действия правоохранительных органов против группы лиц, угрожающих LockBit, за предыдущие 24 часа мы наблюдали несколько атак, которые, по-видимому, были осуществлены с помощью программы-вымогателя LockBit. создан с использованием просочившегося инструмента для создания вредоносных программ», — пояснил Sophos.

    «Похоже, что наше обнаружение на основе сигнатур правильно идентифицировало полезные нагрузки как программы-вымогатели, созданные просочившимся сборщиком LockBit, но в примечаниях о выкупе, сброшенных этими полезными нагрузками, одна из них идентифицировалась как «buhtiRansom», а в записке о выкупе у другой не было имени. "

    Название было соответствующим образом изменено.

    https://www.bleepingcomputer.com/news/security/new-screenconnect-rce-flaw-exploited-in-ransomware-attacks/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Как установленный корпоративный антивирус помогает злоумышленникам распространить сэмплы шифровальщика по хостам в сети.
    Для распространения программы-вымогателя в сети жертвы и для ее запуска на хостах Windows атакующие воспользовались популярным корпоративным антивирусным программным обеспечением, установленным в ИТ-инфраструктуре компании. Для удаленного запуска программы-вымогателя атакующие создали инсталляционный пакет (рис. 15) и соответствующую задачу. Надо отметить, что продвинутые атакующие при получении доступа к панели управления данного антивирусного продукта все чаще предпочитают использовать его для скрытного и эффективного продвижения по сети, нежели чем такие более “шумные” техники, как например, PsExec, SMBExec, WMIExec или создание групповой политики Active Directory (GPO).

    Обзор преступных групп вымогателей, атаковавших Россию в 2023-2024 году

    https://www.facct.ru/blog/ransomware-2023-2024/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.