Шифровирусы шумною толпою...

1234568»

Комментарии

  • отредактировано 5 июн PM
    Ransomware group теперь взламывает корпоративные веб-сайты, чтобы показать заметки о выкупе.

    Кибергруппы поднимает вымогательство на новый уровень, публично взламывая корпоративные веб-сайты, чтобы публично демонстрировать заметки о выкупе.

    Эта новая стратегия вымогательства осуществляется Industrial Spy, которая недавно начала использовать программы-вымогатели как часть своих атак.

    В рамках своих атак Industrial Spy будет взламывать сети, красть данные и развертывать программы-вымогатели на устройствах. Затем злоумышленники угрожают продать украденные данные на своей торговой площадке Tor, если выкуп не будет выплачен.

    Дефейс веб-сайтов как часть вымогательства данных

    Сегодня Industrial Spy начала продавать данные, которые, как они утверждают, были украдены у французской компании SATT Sud-Est, за 500 000 долларов.
    Как впервые заметил исследователь безопасности MalwareHunterTeam, эта атака выделяется тем, что злоумышленники также взломали веб-сайт компании, чтобы отобразить сообщение, предупреждающее о том, что 200 ГБ были украдены и скоро будут выставлены на продажу, если жертва не заплатит выкуп.

    https://www.bleepingcomputer.com/news/security/ransomware-gang-now-hacks-corporate-websites-to-show-ransom-notes/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Linux-версия программы-вымогателя Black Basta нацелена на серверы VMware ESXi

    Black Basta — это последняя группа программ-вымогателей, которая добавила поддержку шифрования виртуальных машин (ВМ) VMware ESXi, работающих на корпоративных серверах Linux.

    Большинство групп вымогателей в настоящее время сосредотачивают свои атаки на виртуальных машинах ESXi, поскольку эта тактика согласуется с их корпоративной направленностью. Это также позволяет использовать более быстрое шифрование нескольких серверов с помощью одной команды.

    Шифрование виртуальных машин имеет смысл, так как многие компании недавно перешли на виртуальные машины, поскольку они упрощают управление устройствами и намного более эффективно используют ресурсы.

    Еще одна кибергруппа нацелена на серверы ESXi

    В новом отчете аналитики Uptycs Threat Research сообщили, что они обнаружили новые двоичные файлы программы-вымогателя Black Basta, специально предназначенные для серверов VMWare ESXi.

    Шифровальщики программ-вымогателей для Linux не являются чем-то новым, и ранее уже известно об аналогичных шифраторах, выпущенных несколькими группами, включая
    LockBit, HelloKitty, BlackMatter, REvil, AvosLocker, RansomEXX и Hive.

    Как и другие шифровальщики Linux, двоичный файл программы-вымогателя Black Basta будет искать /vmfs/volumes, где хранятся виртуальные машины на скомпрометированных серверах ESXi (если такие папки не найдены, программа-вымогатель завершает работу).

    BleepingComputer не смог найти аргументы командной строки для выбора других путей для шифрования, предполагая, что этот шифратор специально разработан для работы только с серверами ESXi.

    Программа-вымогатель использует алгоритм ChaCha20 для шифрования файлов. Он также использует преимущества многопоточности для использования нескольких процессоров и ускорения процесса шифрования.

    При шифровании программа-вымогатель добавит расширение .basta к именам зашифрованных файлов и создаст заметки о выкупе с именем readme.txt в каждой папке.

    «Впервые Black Basta был замечен в этом году в апреле месяце, когда его варианты были нацелены на системы Windows», — сообщили Siddharth Sharma и Nischay Hegde из Uptcys.

    «Основываясь на ссылке поддержки в чате и расширении зашифрованного файла, мы считаем, что за этой кампанией стоят те же участники, которые ранее атаковали системы Windows с помощью программы-вымогателя Black Basta».

    Активен с апреля

    Программа-вымогатель Black Basta была впервые обнаружена в дикой природе во вторую неделю апреля, когда операция быстро увеличила количество атак, нацеленных на компании по всему миру.

    Несмотря на то, что требования банды о выкупе, вероятно, различаются между жертвами, известно, по крайней мере, об одном, кто получил требование на сумму более 2 миллионов долларов за дешифратор и предотвращение утечки его данных в Интернет.

    Хотя о новой группе мало что известно, скорее всего, это не новая операция, а скорее ребрендинг из-за их продемонстрированной способности быстро взломать новых жертв и стиля ведения переговоров (возможно, ребрендинг операции вымогателей Conti).

    Технический директор Emsisoft Fabian Wosar ранее сообщил, что другие кибергруппы (помимо тех, о которых мы сообщали), включая
    Babuk, RansomExx/Defray, Mespinoza, GoGoogle, Snatch, PureLocker и DarkSide
    , также разработали и использовали свои собственные шифраторы для Linux.

    «Причина, по которой большинство групп вымогателей внедрили версии своих программ-вымогателей на базе Linux, заключается в том, что они нацелены именно на ESXi», — пояснил Wosar.

    https://www.bleepingcomputer.com/news/security/linux-version-of-black-basta-ransomware-targets-vmware-esxi-servers/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Ransomware создает сайт для поиска украденных данных сотрудниками.


    ALPHV, также известная как BlackCat, вывела вымогательство на новый уровень, создав специальный веб-сайт, который позволяет клиентам и сотрудникам их жертв проверить, не были ли их данные украдены в результате атаки.

    Когда группы вымогателей проводят атаки, они незаметно крадут корпоративные данные. Собрав все ценное, злоумышленник начинает шифровать устройства.

    Затем украденные данные используются в схемах двойного вымогательства, когда хакеры требуют выкуп за доставку дешифратора и предотвращение публичного раскрытия корпоративных данных.

    Чтобы заставить жертв заплатить, кибергруппы создают сайты утечки данных, где они медленно раскрывают части украденных данных или отправляют клиентам и сотрудникам электронные письма с предупреждением о том, что их информация была украдена.

    Однако эти методы вымогательства не всегда работают, и компании просто решают не платить, даже если их корпоративные данные, данные сотрудников и клиентов находятся под угрозой утечки.

    По этой причине кибергруппы постоянно совершенствуют свою тактику, чтобы оказывать дополнительное давление на жертв.

    Вымогательство на новый уровень

    Сегодня AlphV/BlackCat начала публиковать предположительно украденные данные, которые, как они утверждают, были украдены из отеля и спа-салона в Орегоне.

    В рамках этой атаки AlphV утверждает, что украла 112 ГБ данных, включая информацию о сотрудниках, такую как номера социального страхования, для 1500 сотрудников.

    Однако вместо того, чтобы просто слить данные на своем обычном сайте утечки данных Tor, AlphV пошла еще дальше и создала специальный веб-сайт, позволяющий сотрудникам и клиентам проверять, не были ли их данные украдены во время атаки на отель.

    dedicated-data-leak-site.jpg
    Используя этот сайт, сотрудники, клиенты или кто-либо в этом отношении может просматривать информацию о постояльцах отеля и их пребывании или личные данные 1534 сотрудников.

    В то время как данные о гостях клиентов содержат только имена, дату прибытия и стоимость проживания, данные сотрудников включают чрезвычайно конфиденциальную информацию, такую как имена, номера социального страхования, дату рождения, номера телефонов и адреса электронной почты.

    Злоумышленники даже дошли до того, что создали «пакеты данных» для каждого сотрудника, содержащие файлы, связанные с работой этого человека в отеле.

    Поскольку этот сайт размещен в открытой сети, то есть в общедоступном Интернете, он индексируется поисковыми системами, и раскрытая информация, вероятно, будет добавлена в результаты поиска, что может еще больше усугубить ситуацию для жертв.

    Инновация или пустая трата времени?

    Цель этого сайта ясна: напугать сотрудников и гостей, чтобы они потребовали от отеля удалить их данные из Интернета, что можно сделать только заплатив выкуп.

    Аналитик по безопасности Emisosft Бретт Кэллоу, который обнаружил эту новую стратегию вымогательства и сказал, что, хотя тактика является инновационной, еще слишком рано говорить о том, окупится ли она.

    «Alphv, несомненно, надеется, что эта тактика повысит вероятность того, что они будут монетизировать атаки. Если компании будут знать, что информация, касающаяся их клиентов и сотрудников, будет обнародована таким образом, они могут быть более склонны заплатить требование, чтобы предотвратить это. происходит — и чтобы избежать возможных коллективных исков», — сказал Кэллоу.

    «Несмотря на то, что это инновационный подход, еще неизвестно, будет ли эта стратегия успешной — и, конечно же, это определит, станет ли она более распространенной».

    AlphV считается ребрендингом банды DarkSide/BlackMatter, ответственной за атаку на Colonial Pipeline, которая привлекла внимание средств массовой информации к этим хакерским группам и привлекла все внимание международных правоохранительных органов и правительства США.

    Эта кибергруппа всегда считалась одной из лучших операций по вымогательству. Тем не менее, они также известны своими ошибками и сумасшедшими идеями, которые доставляют им неприятности.

    Настройка этого веб-сайта с пакетами данных отдельных сотрудников определенно отнимала много времени у злоумышленников. Нам придется подождать и посмотреть, окупятся ли усилия.

    https://www.bleepingcomputer.com/news/security/ransomware-gang-creates-site-for-employees-to-search-for-their-stolen-data/

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Conti взломал более 40 организаций за месяц

    Исследователи безопасности назвали хакерскую кампанию ARMattack и назвали ее одной из «самых продуктивных» и «чрезвычайно эффективных».
    Молниеносная кампания ARMattack

    В отчете, предоставленном BleepingComputer, исследователи из компании Group-IB, занимающейся кибербезопасностью, говорят, что одна из «самых продуктивных кампаний» Conti была проведена в прошлом году с 17 ноября по 20 декабря 2021 года.

    В ходе кампании аффилированным лицам Conti удалось скомпрометировать более 40 организаций в различных сферах деятельности, работающих в разных регионах, но с упором на компании, базирующиеся в США.

    Согласно данным Group-IB, самая короткая успешная атака Conti длилась всего три дня с момента первоначального доступа до шифрования систем организации.

    «Получив доступ к инфраструктуре компании, злоумышленники извлекают определенные документы (чаще всего, чтобы определить, с какой организацией они имеют дело) и ищут файлы, содержащие пароли (как открытые, так и зашифрованные). Наконец, получив все необходимые привилегии и получив доступ ко всем интересующим их устройствам, хакеры внедряют программу-вымогатель на все устройства и запускают ее», — Group-IB

    В настоящее время Conti входит в тройку крупнейших групп вымогателей по частоте атак, уступив в этом году второе место после LockBit, согласно данным, собранным за первый квартал 2022 года.

    Первые атаки программ-вымогателей Conti, о которых стало известно BleepingComputer, датируются концом декабря 2019 года. По данным Group-IB, первоначальные тестовые версии вредоносного ПО были отслежены до ноября 2019 года.

    Несмотря на недавние утечки чата и исходного кода, Conti продолжает вести прибыльный бизнес, который почти не подает признаков краха.

    Группа постоянно расширяла свою деятельность, работая с другими операторами программ-вымогателей (HelloKitty, AvosLocker, Hive, BlackCat, BlackByte, LockBit) и приобретая киберпреступные операции, такие как TrickBot.

    https://www.bleepingcomputer.com/news/security/conti-ransomware-hacking-spree-breaches-over-40-orgs-in-a-month/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Поддельные электронные письма о нарушении авторских прав устанавливают программу-вымогатель LockBit

    Партнеры программы-вымогателя LockBit используют интересный трюк, чтобы заставить людей заражать свои устройства, маскируя свое вредоносное ПО под заявлениями об авторских правах.

    Получателей этих писем предупреждают о нарушении авторских прав, предположительно об использовании медиафайлов без лицензии создателя. Эти электронные письма требуют, чтобы получатель удалил контент, нарушающий авторские права, со своих веб-сайтов, иначе он будет привлечен к судебной ответственности.

    Электронные письма, обнаруженные аналитиками из AhnLab, Корея, не определяют, какие файлы были несправедливо использованы в теле письма, а вместо этого предлагают получателю загрузить и открыть вложенный файл, чтобы увидеть содержание нарушения.

    Вложение представляет собой защищенный паролем ZIP-архив, содержащий сжатый файл, который, в свою очередь, имеет исполняемый файл, замаскированный под PDF-документ, но на самом деле являющийся установщиком NSIS.

    Причина для этой оболочки и защиты паролем состоит в том, чтобы избежать обнаружения инструментами безопасности электронной почты.

    Если жертва откроет предполагаемый «PDF», чтобы узнать, какие изображения используются незаконно, вредоносное ПО загрузит и зашифрует устройство с помощью программы-вымогателя LockBit 2.0.

    Заявления о нарушении авторских прав и вредоносное ПО

    Хотя использование заявлений о нарушении авторских прав интересно, оно не является чем-то новым или исключительным для членов LockBit, поскольку многие кампании по распространению вредоносных программ используют ту же приманку.

    https://www.bleepingcomputer.com/news/security/fake-copyright-infringement-emails-install-lockbit-ransomware/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • LockBit 3.0 представляет первую программу вознаграждения за ошибки программ-вымогателей

    LockBit Ransomware выпустил «LockBit 3.0», в котором представлена ​​первая программа вознаграждения за ошибки программ-вымогателей, а также раскрыты новые тактики вымогательства и способы оплаты криптовалютой Zcash.

    Операция по борьбе с программами-вымогателями была запущена в 2019 году и с тех пор стала самой результативной операцией по борьбе с программами-вымогателями, на которую приходится 40% всех известных атак программ-вымогателей в мае 2022 года.

    На выходных кибергруппа выпустила обновленную операцию «программа-вымогатель как услуга» (RaaS) под названием LockBit 3.0 после бета-тестирования в течение последних двух месяцев, при этом новая версия уже использовалась в атаках.

    Хотя неясно, какие технические изменения были внесены в шифровальщик, заметки о выкупе больше не называются «Restore-My-Files.txt», а вместо этого перешли в формат именования [id].README.txt, как показано ниже.

    lockbit-3_0-ransom-note.jpg

    Программа поощрения ошибок LockBit 3.0

    С выпуском LockBit 3.0 операция представила первую программу вознаграждения за обнаружение ошибок, предлагаемую кибергруппой, которая просит исследователей безопасности отправлять отчеты об ошибках в обмен на вознаграждение в размере от 1000 до 1 миллиона долларов.

    «Мы приглашаем всех исследователей безопасности, этичных и неэтичных хакеров на планете принять участие в нашей программе вознаграждения за обнаружение ошибок. Сумма вознаграждения варьируется от 1000 до 1 миллиона долларов», — говорится на странице вознаграждения за обнаружение ошибок LockBit 3.0.

    Тем не менее, эта программа вознаграждения за обнаружение ошибок немного отличается от тех, которые обычно используются законными компаниями, поскольку во многих странах помощь преступному предприятию является незаконной.

    Кроме того, LockBit не только предлагает вознаграждение за уязвимости, но также выплачивает вознаграждение за «блестящие идеи» по улучшению работы программ-вымогателей и за доксинг менеджера партнерской программы.

    Ниже приведены различные категории наград за ошибки, предлагаемые операцией LockBit 3.0:
    Ошибки веб-сайта: XSS-уязвимости, инъекции mysql, получение оболочки на сайт и многое другое, будет оплачиваться в зависимости от серьезности ошибки, основное направление - получить дешифратор через веб-сайт ошибок, а также доступ к истории переписки с зашифрованными компаниями.
    Ошибки локера: Любые ошибки при шифровании локерами, приводящие к повреждению файлов или к возможности расшифровки файлов без получения дешифратора.
    Блестящие идеи: Мы платим за идеи, пожалуйста, напишите нам, как улучшить наш сайт и наше программное обеспечение, лучшие идеи будут оплачены. Что такого интересного в наших конкурентах, чего нет у нас?
    Доксинг: Мы платим ровно миллион долларов, не больше и не меньше, за доксирование босса партнерской программы. Являетесь ли вы агентом ФБР или очень умным хакером, который знает, как найти кого угодно, вы можете написать нам в мессенджер TOX, сообщить нам имя своего босса и получить за это 1 миллион долларов в биткойнах или монеро.
    Мессенджер TOX: Уязвимости мессенджера TOX, позволяющие перехватывать переписку, запускать вредоносные программы, определять IP-адрес собеседника и другие интересные уязвимости.
    Сеть Tor: Любые уязвимости, помогающие получить IP-адрес сервера, на котором установлен сайт на домене onion, а также получить root-доступ к нашим серверам с последующим дампом базы данных и доменами onion.

    Вознаграждение в размере 1 000 000 долларов США за идентификацию менеджера филиала, известного как LockBitSupp, ранее предлагалось на хакерском форуме XSS в апреле.

    Предстоящий способ оплаты ZCash?

    При открытии сайтов Tor для переговоров LockBit 3.0 и сайтов утечки данных посетителям предоставляется анимированный логотип с вращающимися вокруг него различными значками криптовалюты.

    Значки криптовалюты, показанные на этой анимации, — это Monero и Bitcoin, которые в прошлом принимались в качестве выкупа, но также включает монету конфиденциальности, известную как Zcash.

    Добавление Zcash в качестве способа оплаты неудивительно для программы-вымогателя.

    Компании по отслеживанию криптовалюты и аресты правоохранительных органов неоднократно показывали, что Биткойн можно отследить, и, хотя Monero является монетой конфиденциальности, подавляющее большинство криптобирж США не предлагает ее для продажи.

    Zcash также является монетой конфиденциальности, что затрудняет отслеживание. Тем не менее, в настоящее время он выставлен на продажу на самой популярной в США криптовалютной бирже Coinbase, что облегчает жертвам покупку для получения выкупа.

    Однако, если операции с программами-вымогателями перейдут на прием платежей в этой монете, мы, вероятно, увидим, что она будет удалена с бирж США из-за давления со стороны правительства США.

    LockBit продает украденные данные жертвы?

    Валерий Мархив из LeMagIT обнаружил, что операция LockBit 3.0 использует новую модель вымогательства, позволяющую злоумышленникам покупать данные, украденные во время атак.

    Один из файлов JavaScript, используемых новым сайтом утечки данных LockBit 3.0, показывает новое модальное диалоговое окно HTML, которое позволяет людям приобретать данные, украденные на сайте.

    Как вы можете видеть ниже, модальные окна предложат возможность купить данные и скачать их либо через торрент, либо прямо на сайте. Доступные параметры могут быть определены в зависимости от размера украденных данных, при этом торренты используются для больших дампов данных и прямой загрузки для меньших объемов.

    Поскольку на сайте утечки данных LockBit 3.0 в настоящее время нет жертв, неясно, как будет работать эта новая тактика вымогательства и будет ли она вообще включена.

    LockBit — одна из самых активных операций с программами-вымогателями, а ее общедоступный оператор активно взаимодействует с другими субъектами угроз и сообществом кибербезопасности.

    Из-за постоянного внедрения новых тактик, технологий и способов оплаты специалистам по безопасности и сетям жизненно важно быть в курсе развития операций.

    https://www.bleepingcomputer.com/news/security/lockbit-30-introduces-the-first-ransomware-bug-bounty-program/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 6 июл PM
    Новая программа-вымогатель RedAlert нацелена на серверы Windows и Linux VMware ESXi

    Новая операция программы-вымогателя под названием RedAlert или N13V шифрует серверы Windows и Linux VMWare ESXi при атаках на корпоративные сети.

    Новая операция была обнаружена сегодня MalwareHunterTeam, которая разместила в Твиттере различные изображения сайта утечки данных банды.

    Программа-вымогатель получила название RedAlert на основе строки, использованной в записке с требованием выкупа. Однако из шифровальщика Linux, полученного BleepingComputer, злоумышленники называют свою операцию «N13V», как показано ниже.

    help-file.jpg
    Шифровальщик Linux создан для серверов VMware ESXi с параметрами командной строки, которые позволяют злоумышленникам выключать любые работающие виртуальные машины перед шифрованием файлов.

    Полный список параметров командной строки можно увидеть ниже.
    -w	 Run command for stop all running VM`s
    -p	 Path to encrypt (by default encrypt only files in directory, not include subdirectories)
    -f	 File for encrypt
    -r	 Recursive. used only with -p ( search and encryption will include subdirectories )
    -t	 Check encryption time(only encryption, without key-gen, memory allocates ...)
    -n	 Search without file encryption.(show ffiles and folders with some info)
    -x	 Asymmetric cryptography performance tests. DEBUG TESTS
    -h	 Show this message
    

    При запуске программы-вымогателя с аргументом «-w» шифровальщик Linux выключит все работающие виртуальные машины VMware ESXi с помощью следующей команды esxcli:
    esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'
    

    При шифровании файлов программа-вымогатель использует алгоритм шифрования с открытым ключом NTRUEncrypt, который поддерживает различные «наборы параметров», обеспечивающие разные уровни безопасности.

    Интересной особенностью RedAlert/N13V является параметр командной строки «-x», который выполняет «тестирование производительности асимметричного шифрования» с использованием этих различных наборов параметров NTRUEncrypt. Однако неясно, есть ли способ принудительно установить определенный параметр при шифровании и/или программа-вымогатель выберет более эффективный.

    Единственная известная операция с программами-вымогателями, использующая этот алгоритм шифрования, — FiveHands.

    При шифровании файлов программа-вымогатель будет нацелена только на файлы, связанные с виртуальными машинами VMware ESXi, включая файлы журналов, файлы подкачки, виртуальные диски и файлы памяти, как указано ниже.
    .log
    .vmdk
    .vmem
    .vswp
    .vmsn

    В образце, проанализированном BleepingComputer, программа-вымогатель шифровала эти типы файлов и добавляла расширение .crypt658 к именам зашифрованных файлов.

    В каждой папке программа-вымогатель также создаст пользовательскую заметку о выкупе с именем HOW_TO_RESTORE, содержащую описание украденных данных и ссылку на уникальный сайт оплаты выкупа TOR для жертвы.

    Платежный сайт Tor похож на другие сайты операций с программами-вымогателями, поскольку он отображает требование о выкупе и предоставляет возможность вести переговоры с злоумышленниками.

    Однако RedAlert/N13V принимает к оплате только криптовалюту Monero, которая обычно не продается на криптобиржах США, потому что это монета конфиденциальности.

    tor-payment-site.jpg

    Хотя был найден только шифровальщик Linux, на платежном сайте есть скрытые элементы, показывающие, что дешифраторы Windows также существуют.

    Как и почти все новые операции с программами-вымогателями, нацеленными на предприятия, RedAlert проводит атаки с двойным вымогательством, когда данные крадут, а затем программа-вымогатель развертывается для шифрования устройств.

    Эта тактика предусматривает два метода вымогательства, позволяя злоумышленникам не только требовать выкуп за дешифратор, но и требовать его для предотвращения утечки украденных данных.

    Когда жертва не платит выкуп, банда RedAlert публикует украденные данные на своем сайте утечки данных, который может скачать любой желающий.

    В настоящее время сайт утечки данных RedAlert содержит данные только для одной организации, что указывает на то, что операция очень новая.

    Хотя с новой операцией по вымогательству N13V/RedAlert не было большой активности, нам обязательно нужно будет следить за ней из-за ее расширенной функциональности и непосредственной поддержки как Linux, так и Windows.

    https://www.bleepingcomputer.com/news/security/new-redalert-ransomware-targets-windows-linux-vmware-esxi-servers/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Программы-вымогатели и хакерские группы переходят с Cobalt Strike на Brute Ratel

    Хакерские группы и операции по вымогательству переходят от Cobalt Strike к более новому набору инструментов постэксплуатации Brute Ratel, чтобы избежать обнаружения EDR и антивирусными решениями.

    Команды корпоративной кибербезопасности обычно состоят из сотрудников, которые пытаются взломать корпоративные сети (красная команда), и тех, кто активно защищается от них (синяя команда). Затем обе команды обмениваются заметками после мероприятий по укреплению защиты сети от кибербезопасности.

    В течение многих лет одним из самых популярных инструментов в битвах с красными командами был Cobalt Strike, набор инструментов, позволяющий злоумышленникам развертывать «маяки» на скомпрометированных устройствах для удаленного наблюдения за сетью или выполнения команд.

    Хотя Cobalt Strike является законным программным обеспечением, злоумышленники распространяют взломанные версии в Интернете, что делает его одним из самых популярных инструментов, используемых хакерами и программами-вымогателями для бокового распространения через взломанные корпоративные сети.

    Хакеры переходят на Brute Ratel

    В 2020 году Четан Наяк, бывший член красной команды в Mandiant и CrowdStrike, выпустил Brute Ratel Command and Control Center (BRc4) в качестве альтернативы Cobalt Strike для тестирования красной команды на проникновение.

    Как и Cobalt Strike, Brute Ratel — это инструмент моделирования состязательной атаки, который позволяет красным командам развертывать «барсуков» (похожих на маяки в Cobalt Strike) на удаленных хостах. Эти барсуки подключаются к серверу управления и контроля злоумышленника, чтобы получать команды для выполнения или передачи результатов ранее запущенных команд.

    В новом отчете Palo Alto Unit 42 исследователи заметили, что злоумышленники переходят от Cobalt Strike к использованию Brute Ratel в качестве предпочтительного набора инструментов для пост-эксплуатации.

    Это изменение в тактике имеет большое значение, поскольку BRc4 предназначен для того, чтобы избежать обнаружения EDR и антивирусными решениями, и почти все программы безопасности не определяют его как вредоносное при первом обнаружении в дикой природе.

    «Хотя этой возможности удалось остаться в тени и она остается менее известной, чем ее собратья Cobalt Strike, она не менее сложна», — поясняется в отчете Unit 42.

    «Наоборот, этот инструмент уникально опасен, поскольку он был специально разработан, чтобы избежать обнаружения с помощью средств обнаружения и реагирования на конечных точках (EDR) и антивирусных (AV) возможностей. Вирус Тотал».

    В ходе атак злоумышленники распространяют вредоносные ISO-образы, предположительно содержащие отправленное резюме (CV).

    В настоящее время Brute Ratel стоит 2500 долларов США за пользователя за годовую лицензию, при этом клиенты должны предоставить рабочий адрес электронной почты и пройти проверку перед выдачей лицензии.

    «Но из-за характера программного обеспечения мы продаем продукт только зарегистрированным компаниям и частным лицам с официальным рабочим адресом электронной почты / доменом после проверки бизнеса и истории работы человека», — поясняется на странице цен Brute Ratel.

    Поскольку это ручной процесс проверки, возникает вопрос о том, как злоумышленники получают лицензии на программное обеспечение.

    Разработчик Brute Ratel Четан Наяк сообщил BleepingComputer, что лицензия, использованная в атаках, о которых сообщила Unit 42, была слита недовольным сотрудником одного из его клиентов.

    Поскольку полезные нагрузки позволяют Наяку видеть, кому они принадлежат, он смог идентифицировать и отозвать лицензию.

    Однако, по словам генерального директора AdvIntel Виталия Кремеза, бывшие участники программы-вымогателя Conti также начали приобретать лицензии, создавая поддельные американские компании для прохождения системы проверки лицензий.

    «Преступники, стоящие за прежними операциями Conti по вымогательству, исследовали несколько наборов для тестирования на проникновение, помимо использования Cobalt Strike», — сказал Кремез в разговоре с BleepingComputer.

    «В одном конкретном случае они получили доступ к набору Brute Ratel, который использовался для пост-эксплуатации в целевых атаках из загрузчика BumbleBee. Конечной целью использования Brute Ratel была пост-эксплуатационная структура для бокового перемещения и последующего шифрования сети через полезная нагрузка программы-вымогателя».

    «Чтобы получить доступ к лицензиям Brute Ratel, злоумышленники создают поддельные американские компании, которые используются в процессе проверки».

    https://www.bleepingcomputer.com/news/security/ransomware-hacking-groups-move-from-cobalt-strike-to-brute-ratel/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Ransomware теперь допускает поиск среди украденных данных

    Две группы приняли новую стратегию, чтобы заставить компании-жертвы платить злоумышленникам за то, чтобы они не разглашали украденные данные.

    Новая тактика заключается в добавлении функции поиска на сайте утечки, чтобы упростить поиск жертв или даже конкретных деталей.

    По крайней мере, две группы недавно приняли эту стратегию, и, вероятно, другие злоумышленники сделают то же самое.

    Простой поиск данных жертв

    На прошлой неделе группа ALPHV/BlackCat объявила, что они создали доступную для поиска базу данных с утечками от неплатящих жертв.

    Хакеры дали понять, что репозитории проиндексированы и поиск работает при поиске информации по имени файла или по содержимому, доступному в документах и изображениях.

    Результаты берутся из раздела «Коллекции» сайта утечки BlackCat и могут быть не самыми точными, но это все же эволюция стратегии киберпреступника по вымогательству.

    BlackCat утверждают, что делают это для того, чтобы другим киберпреступникам было проще подобрать пароли или конфиденциальную информацию о компаниях.

    LockBit предлагает переработанную версию своего сайта утечки данных, которая позволяет искать компании-жертвы из списка.

    Еще один сайт утечки, на котором реализована функция поиска, — сайт, опубликованный группой «Каракурт».

    https://www.bleepingcomputer.com/news/security/ransomware-gang-now-lets-you-search-their-stolen-data/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Новая программа-вымогатель Luna шифрует системы Windows, Linux и ESXi

    Новое семейство программ-вымогателей, получившее название Luna, может использоваться для шифрования устройств, работающих под управлением нескольких операционных систем, включая системы Windows, Linux и ESXi.

    Вымогатели Luna, обнаруженные исследователями безопасности «Лаборатории Касперского» через рекламу на форуме Dark Web, обнаруженную системой активного мониторинга Darknet Threat Intelligence, похоже, специально адаптированы для использования только русскоязычными злоумышленниками.

    Luna (по-русски — луна) — это очень простая программа, которая все еще находится в стадии разработки и имеет ограниченные возможности, основанные на доступных параметрах командной строки.

    Однако он использует не очень распространенную схему шифрования, сочетающую быстрый и безопасный обмен ключами Диффи-Хеллмана на эллиптической кривой X25519 с использованием Curve25519 с алгоритмом симметричного шифрования Advanced Encryption Standard (AES).

    Кроссплатформенная программа-вымогатель на основе Rust

    Группа, стоящая за этим новым вымогателем, разработала этот новый штамм на Rust и воспользовалась его платформо-независимой природой, чтобы перенести его на несколько платформ с очень небольшими изменениями в исходном коде.

    Использование кроссплатформенного языка также позволяет программе-вымогателю Luna уклоняться от попыток автоматического статического анализа кода.

    «Образцы для Linux и ESXi скомпилированы с использованием одного и того же исходного кода с некоторыми незначительными изменениями по сравнению с версией для Windows. Остальной код не имеет существенных изменений по сравнению с версией для Windows», — добавили исследователи.

    Луна также подтверждает последнюю тенденцию, принятую кибергруппами, разрабатывающими кросс-платформенные программы-вымогатели, использующие такие языки, как Rust и Golang, для создания вредоносных программ, способных атаковать несколько операционных систем практически без изменений.

    Касперский говорит, что очень мало данных о том, какие жертвы были зашифрованы с помощью программы-вымогателя Luna, если таковые имеются, учитывая, что группа была только что обнаружена и ее активность все еще отслеживается.

    https://www.bleepingcomputer.com/news/security/new-luna-ransomware-encrypts-windows-linux-and-esxi-systems/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • LockBit заявляет об атаке на итальянскую налоговую службу

    Итальянские власти расследуют заявления LockBit о том, что они взломали сеть итальянской налоговой службы (L'Agenzia delle Entrate).

    LockBit утверждает, что они украли 100 ГБ данных (включая документы компании, сканы, финансовые отчеты и контракты), которые будут просочены в Интернет, если итальянское налоговое агентство не заплатит требование о выкупе до 1 августа.

    Итальянское налоговое агентство опубликовало на своем веб-сайте официальное заявление о «предполагаемой краже данных из налоговой информационной системы», в котором говорится, что оно запросило дополнительную информацию у Sogei (Società Generale d'Informatica) SpA, публичной компании Министерства экономики и финансов. который управляет технологической инфраструктурой финансовой администрации.

    «Из проведенных технических расследований Sogei исключает возможность кибератаки на веб-сайт агентства», — говорится в сообщении агентства.

    Sogei SpA также управляет ИТ-инфраструктурой, используемой другими итальянскими ведомствами, в том числе министерствами юстиции, внутренних дел и образования, генеральным прокурором штата и министерством финансов.

    Представитель Sogei сообщил что «кибератак на технологические платформы и инфраструктуру финансового управления нет», добавив, что «невозможно предоставить дополнительные подробности, поскольку расследование продолжается».

    Компания также поделилась официальным заявлением на своем веб-сайте, в котором говорится, что она не нашла доказательств кибератаки, затронувшей итальянское налоговое агентство.

    «Что касается предполагаемой кибератаки на налоговую информационную систему, Sogei spa сообщает, что с момента первого проведенного анализа не было никаких кибератак и не было кражи данных с платформ и технологических инфраструктур Финансового управления», — говорится в сообщении публичной компании.

    «Поэтому из проведенных технических расследований Sogei исключает кибератаку на сайт Агентства по доходам».

    Sogei SpA добавила, что в настоящее время сотрудничает и поддерживает совместное расследование, которое координируется Национальным агентством кибербезопасности Италии и почтовой полицией.

    LockBit впервые появилась в сентябре 2019 года как программа-вымогатель как услуга (RaaS) и была перезапущена как LockBit 2.0 RaaS в июне 2021 года после того, как группам вымогателей запретили размещать сообщения на форумах по киберпреступности.

    В феврале ФБР выпустило экстренное предупреждение с индикаторами компрометации, связанной с атаками программ-вымогателей LockBit (на которые приходится 40% всех известных атак программ-вымогателей в мае 2022 года), с просьбой к организациям, на которые нацелены филиалы этого RaaS, срочно сообщать о любых инцидентах.

    В прошлом месяце LockBit выпустила «LockBit 3.0», представляя первую программу вознаграждения за обнаружение ошибок программ-вымогателей, новую тактику вымогательства и варианты оплаты в криптовалюте Zcash.

    https://www.bleepingcomputer.com/news/security/lockbit-claims-ransomware-attack-on-italian-tax-agency/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 30 июл PM
    Оператор LockBit использует Windows Defender для загрузки Cobalt Strike

    Злоумышленники, связанные с LockBit 3.0, злоупотребляют инструментом командной строки Защитника Windows, чтобы загружать маяки Cobalt Strike на скомпрометированные системы и избегать обнаружения программным обеспечением безопасности.

    Cobalt Strike — это легитимный набор для тестирования на проникновение с обширными функциями, популярными среди злоумышленников, для скрытой разведки сети и горизонтального перемещения перед тем, как украсть данные и зашифровать их.

    Однако решения по обеспечению безопасности стали лучше обнаруживать маяки Cobalt Strike, что заставляет злоумышленников искать инновационные способы развертывания инструментария.
    В недавнем случае реакции на атаку LockBit исследователи из Sentinel Labs заметили злоупотребление инструментом командной строки Microsoft Defender «MpCmdRun.exe» для боковой загрузки вредоносных библиотек DLL, которые расшифровывают и устанавливают маяки Cobalt Strike.

    Первоначальная компрометация сети в обоих случаях была осуществлена ​​путем использования уязвимости Log4j на уязвимых серверах VMWare Horizon для запуска кода PowerShell.

    Неопубликованная загрузка маяков Cobalt Strike на скомпрометированные системы не является чем-то новым для LockBit, поскольку есть сообщения о подобных цепочках заражения, основанных на злоупотреблении утилитами командной строки VMware.

    Злоупотребление Microsoft Defender

    После установления доступа к целевой системе и получения необходимых пользовательских привилегий злоумышленники используют PowerShell для загрузки трех файлов: чистой копии утилиты Windows CL, файла DLL и файла журнала.
    MpCmdRun.exe — это утилита командной строки для выполнения задач Microsoft Defender, которая поддерживает команды для сканирования на наличие вредоносных программ, сбора информации, восстановления элементов, выполнения диагностической трассировки и многого другого.

    При выполнении MpCmdRun.exe загрузит законную DLL с именем «mpclient.dll», которая необходима для правильной работы программы.
    В случае, проанализированном SentinelLabs, злоумышленники создали собственную версию mpclient.dll, предназначенную для использования в качестве оружия, и поместили ее в место, которое отдает приоритет загрузке вредоносной версии DLL-файла.

    signed-exec.png

    Исполняемый код загружает и расшифровывает зашифрованную полезную нагрузку Cobalt Strike из файла «c0000015.log», установленного вместе с двумя другими файлами на более ранней стадии атаки.

    exploit-chain.png

    Хотя неясно, почему дочерняя компания LockBit переключилась с VMware на инструменты командной строки Защитника Windows для боковой загрузки маяков Cobalt Strike, это может быть сделано для обхода целевых средств защиты, реализованных в ответ на предыдущий метод.

    Использование легитимных инструментов для уклонения от обнаружения EDR и AV в наши дни чрезвычайно распространено; следовательно, организациям необходимо проверять свои средства управления безопасностью и проявлять бдительность, отслеживая использование законных исполняемых файлов, которые могут быть использованы злоумышленниками.

    https://www.bleepingcomputer.com/news/security/lockbit-operator-abuses-windows-defender-to-load-cobalt-strike/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • BlackCat заявила об атаке на европейский газопровод

    ALPHV, также известная как BlackCat, взяла на себя ответственность за кибератаку на Creos Luxembourg S.A. На прошлой неделе оператор газопровода и электросети в центральноевропейской стране.

    Владелец Creos, Encevo, который работает в качестве поставщика энергии в пяти странах ЕС, объявил 25 июля, что они подверглись кибератаке в предыдущие выходные, между 22 и 23 июля.

    Хотя кибератака привела к тому, что клиентские порталы Encevo и Creos стали недоступны, перерыва в предоставлении услуг не было.

    28 июля компания опубликовала обновленную информацию о кибератаке, при этом первоначальные результаты их расследования показали, что сетевые злоумышленники украли «определенный объем данных» из систем, к которым был получен доступ.

    На данный момент всем клиентам рекомендуется сбросить учетные данные своей онлайн-учетной записи, которые они использовали для взаимодействия с сервисами Encevo и Creos. Кроме того, если эти пароли одинаковы на других сайтах, клиенты также должны изменить свои пароли на этих сайтах.

    BlackCat снова бьет по газу

    В субботу группа вымогателей ALPHV/BlackCat добавила Creos на свой вымогательский сайт, угрожая опубликовать 180 000 украденных файлов общим размером 150 ГБ, включая контракты, соглашения, паспорта, счета и электронные письма.

    Хотя точное время выполнения этой угрозы не было объявлено, хакеры пообещали, что раскрытие произойдет позже сегодня (в понедельник).

    ALPHV/BlackCat недавно запустили новую платформу для вымогательства, на которой они делают украденные данные доступными для поиска посетителями с целью усилить давление на своих жертв, чтобы заставить их заплатить выкуп.

    Считается, что BlackCat — это операция по ребрендингу DarkSide, которая была закрыта под давлением правоохранительных органов после широко разрекламированной атаки на Colonial Pipeline.

    После закрытия DarkSide они переименовались в BlackMatter, чтобы уклониться от правоохранительных органов, но давление продолжалось, и группа снова закрылась.

    С ноября 2021 года, когда субъекты угроз были перезапущены как BlackCat/ALPHV, субъекты угроз, как правило, избегают крупных американских целей и вместо этого нацеливаются на европейские организации, такие как австрийские государства, итальянские сети модной одежды и швейцарский поставщик услуг в аэропортах.

    Однако похоже, что они не извлекли уроков из своих ошибок и продолжают атаковать критически важную инфраструктуру, такую ​​как немецкая компания по поставке бензина Oiltanking в феврале, а теперь Creos Luxembourg.

    https://www.bleepingcomputer.com/news/security/blackcat-ransomware-claims-attack-on-european-gas-pipeline/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.