СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
17.04.2025
#Dev#ИБ

CrazyHunter: Растущая угроза кибербезопасности Тайваня

CrazyHunter: Растущая угроза кибербезопасности Тайваня

Источник: www.trendmicro.com

Группа программ-вымогателей CrazyHunter быстро становится значимой угрозой для критически важных секторов Тайваня. Их стратегии направлены на организации в области здравоохранения, образования и промышленных услуг, что вызывает серьезные опасения среди экспертов в области кибербезопасности.

Методы атаки и инструменты

CrazyHunter использует передовые методы атаки, включая инновационный подход, основанный на создании собственного уязвимого драйвера (BYOVD). Это позволяет им эффективно обходить имеющиеся средства защиты:

  • Приблизительно 80% их инструментария составляют инструменты с открытым исходным кодом, размещенные на GitHub.
  • Используются такие инструменты, как Prince Ransomware Builder и ZammoCide, адаптированные для расширения возможностей атак.

Целевые организации

Группа поразила десятки организаций на Тайване. Их нацеленные атаки, как видно из списка жертв на сайте по утечке данных, сосредоточены на:

  • Предприятиях малого и среднего бизнеса, обрабатывающих ценные данные.
  • Основных службах, которые нарушаются в результате атак.

Тактики и средства защиты

Анализ внутренней телеметрии показал тактики, методы и процедуры (TTP) группы, включая:

  • Специальное средство защиты процессов, использующее уязвимые драйверы для отключения механизмов безопасности.
  • Адаптированный инструмент на основе ZammoCide, который завершает процессы, связанные с антивирусными решениями и EDR.

Данные и методы шифрования

Версия программы-вымогателя CrazyHunter, разработанная на основе Prince, использует сложные методы шифрования, включая:

  • ChaCha20
  • ECIES

После развертывания шифровка данных добавляет расширение «.Hunter» и создает уведомление о требовании выкупа с указанием инструкций по оплате.

Стратегии распространения

Процесс развертывания программы-вымогателя включает в себя серию скриптов, которые активируют различные исполняемые файлы, предназначенные для использования уязвимостей системы. Также известные такие методы, как:

  • Использование объектов групповой политики (GPO) для получения несанкционированного доступа и повышения привилегий.
  • Эффективное размещение вредоносных программ и боковые перемещения по скомпрометированным системам.

Выводы и рекомендации

Постоянная адаптация инструментов с открытым исходным кодом и изощренность операций CrazyHunter подчеркивают необходимость повышенной бдительности. Организациям в уязвимых секторах следует принимать проактивные меры для защиты от этой эволюционирующей угрозы в области кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: