Атака на розничного гиганта: новая угроза от Hunters International

Атака на розничного гиганта: новая угроза от Hunters International

Источник: www.esentire.com

В феврале 2025 года киберпреступная группа Hunters International нанесла удар по розничной организации, привлекая внимание к своей деятельности по сбыту программ-вымогателей. В отличие от многих других групп, Hunters International, возникшая в середине 2023 года, приобрела исходный код программы-вымогателя у Hive и с тех пор уверенно действует независимо.

Тактирование и методы злоумышленников

Первоначальное нарушение безопасности произошло через уязвимость CVE-2024-55591, имеющую отношение к FortiOS и FortiProxy. Получив доступ к внутренней сети через VPN, злоумышленники использовали протокол RDP для изучения системы и создания новых учетных записей пользователей.

Основные методы эксплуатации:

  • Использование уязвимости Fortinet для доступа к системе.
  • Создание учетной записи пользователя с именем «my_admin» для дальнейшего доступа.
  • Разведка внутренней сети и попытки утечки данных с помощью Rclone и WinSCP.

Процесс утечки данных

Злоумышленники пытались извлечь данные с помощью Rclone, который был настроен для обхода файлов, оставшихся в системе более пяти лет. Однако после неудач с Rclone они перешли на WinSCP, загружая файлы с взломанного хостинга. Хакеры использовали специальные сценарии PowerShell, чтобы оптимизировать свои действия.

Программа-вымогатель и её особенности

После успешного этапа извлечения данных, злоумышленники попытались внедрить свою программу-вымогатель, обнаруженной как «encrypter_windows_x64.dll». Однако сталкиваясь с детекцией со стороны EDR systems, они адаптировали свою тактику, используя DLL-версию вместо EXE.

Ключевые характеристики программы:

  • Написана на Rust, не добавляет расширения к зашифрованным файлам.
  • Не оставляет сообщений о требованиях выкупа.
  • Использует AES-256 в режиме CTR для шифрования.
  • Отключает параметры восстановления системы и использует многопоточность для ускорения процесса шифрования.

Тактика двойного вымогательства

Группа «Хантерс Интернэшнл» применяет тактику двойного вымогательства, угрожая утечкой отфильтрованных данных на темный веб-сайт в случае невыполнения требований о выкупе. Их действия свидетельствуют о высокой степени изощренности, использования различных методов для маскировки своей деятельности и повышения эффективности атак.

По состоянию на текущий отчет, группа скомпрометировала 263 организации, что подчеркивает актуальность проблемы кибербезопасности в современной цифровой среде.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: