Атака на розничного гиганта: новая угроза от Hunters International

Источник: www.esentire.com
В феврале 2025 года киберпреступная группа Hunters International нанесла удар по розничной организации, привлекая внимание к своей деятельности по сбыту программ-вымогателей. В отличие от многих других групп, Hunters International, возникшая в середине 2023 года, приобрела исходный код программы-вымогателя у Hive и с тех пор уверенно действует независимо.
Тактирование и методы злоумышленников
Первоначальное нарушение безопасности произошло через уязвимость CVE-2024-55591, имеющую отношение к FortiOS и FortiProxy. Получив доступ к внутренней сети через VPN, злоумышленники использовали протокол RDP для изучения системы и создания новых учетных записей пользователей.
Основные методы эксплуатации:
- Использование уязвимости Fortinet для доступа к системе.
- Создание учетной записи пользователя с именем «my_admin» для дальнейшего доступа.
- Разведка внутренней сети и попытки утечки данных с помощью Rclone и WinSCP.
Процесс утечки данных
Злоумышленники пытались извлечь данные с помощью Rclone, который был настроен для обхода файлов, оставшихся в системе более пяти лет. Однако после неудач с Rclone они перешли на WinSCP, загружая файлы с взломанного хостинга. Хакеры использовали специальные сценарии PowerShell, чтобы оптимизировать свои действия.
Программа-вымогатель и её особенности
После успешного этапа извлечения данных, злоумышленники попытались внедрить свою программу-вымогатель, обнаруженной как «encrypter_windows_x64.dll». Однако сталкиваясь с детекцией со стороны EDR systems, они адаптировали свою тактику, используя DLL-версию вместо EXE.
Ключевые характеристики программы:
- Написана на Rust, не добавляет расширения к зашифрованным файлам.
- Не оставляет сообщений о требованиях выкупа.
- Использует AES-256 в режиме CTR для шифрования.
- Отключает параметры восстановления системы и использует многопоточность для ускорения процесса шифрования.
Тактика двойного вымогательства
Группа «Хантерс Интернэшнл» применяет тактику двойного вымогательства, угрожая утечкой отфильтрованных данных на темный веб-сайт в случае невыполнения требований о выкупе. Их действия свидетельствуют о высокой степени изощренности, использования различных методов для маскировки своей деятельности и повышения эффективности атак.
По состоянию на текущий отчет, группа скомпрометировала 263 организации, что подчеркивает актуальность проблемы кибербезопасности в современной цифровой среде.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



