СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.04.2025
#ИБ#Инфра

Анализ атаки методом перебора: угроза программ-вымогателей

Анализ атаки методом перебора: угроза программ-вымогателей

Недавнее расследование показало, что простая атака методом перебора привела к более масштабной сети программ-вымогателей, вероятно, связанной с посредниками первоначального доступа. Ученые из Центра управления безопасностью (SOC) ввели изоляцию по всей сети, чтобы предотвратить горизонтальное перемещение в скомпрометированной среде.

Методы атаки

Методы, используемые хакерами в ходе таких атак, включают:

  • вторжение по протоколу удаленного рабочего стола (RDP)
  • взлом VPN

Эти действия обычно приводят к перебору учетных данных и горизонтальному перемещению по сетям.

Инструменты киберпреступников

Хакеры часто используют такие инструменты, как:

  • Procdump
  • Mimikatz

Они предназначены для извлечения учетных данных из подсистемы управления локальной безопасностью Windows (LSASS). Альтернативные методы включают:

  • сброс данных из реестра с помощью Secretsdump
  • кражу файлов cookie браузера

Раскрытие угроз

После тщательного изучения IP-адресов, связанных с атакой, были выявлены угрозы, связанные с программами-вымогателями Hive и BlackSuit, о которых сообщает CISA. Это исследование также привело к проверке сертификатов TLS, привязанных к этим IP-адресам, и позволило выявить вредоносный домен specialsseason.com.

Название этого домена намекает на «охоту на крупную дичь» — термин, связанный с финансово мотивированными группами вымогателей, нацеленными на крупные организации. Более того, было обнаружено наличие других вредоносных доменов, таких как 1vpns.com, которые обманчиво похожи на легальный VPN-провайдер и, вероятно, поддерживают киберпреступную деятельность, предлагая анонимность и доступ без регистрации.

Распределенная сеть и ее последствия

Наличие нескольких индикаторов с кодами стран наводит на мысль о распределенной сети, что подтверждается обнаружением различных служб прослушивания в разных портах. Это исследование продемонстрировало оперативный ландшафт программ-вымогателей и способы получения учетных данных.

Итоги и важность комплексного реагирования

Этот случай подчеркивает важность комплексного реагирования на инциденты. Первоначальная атака методом перебора послужила отправной точкой для выявления связанных компонентов экосистемы программ-вымогателей.

Важно, чтобы специалисты по безопасности выходили за рамки поверхностных показателей и проводили более глубокие расследования, ориентируясь на:

  • поведение и мотивы хакеров
  • аспекты, выходящие за рамки типичных индикаторов компрометации (IOCs)
  • тактики, методы и процедуры (TTP)

В целом, этот случай представляет собой важный пример в продолжающейся борьбе с вредоносными программами-вымогателями, которые затрагивают различные организации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: