Программа-вымогатель LockBit начинает шифровать данные через 5 минут после проникновения в сеть

Дата: 21.10.2020. Автор: Артем П. Категории: Новости по информационной безопасности
Программа-вымогатель LockBit начинает шифровать данные через 5 минут после проникновения в сеть

Эксперты по информационной безопасности компании Sophos после расследования восьми инцидентов безопасности, произошедших в небольших организациях, получили больше информации о новой программе-вымогателе LockBit.

Выяснилось, что вымогательское ПО LockBit начинает активно развертывать процессы шифрования в целевых системах через 5 минут после проникновения в сеть жертвы. Этот вредоносный софт нетипичен тем, что управляется автоматизированными процессами для мгновенного распространения по сети жертвы, обнаружения наиболее важных сегментов этой сети с конфиденциальными данными и их последующего шифрования.

В одном из случаев специалисты Sophos обнаружили, что кибератака началась со скомпрометированного информационного сервера в интернете, который запустил удаленный сценарий PowerShell, вызывающий другой сценарий, встроенный в удаленный документ Google Sheets.

Программа-вымогатель LockBit начинает шифровать данные через 5 минут после проникновения в сеть

Этот сценарий подключается к серверу управления и контроля для получения, последующей установки модуля PowerShell для добавления бэкдора и обеспечения устойчивости. Чтобы избежать обнаружения и остаться незамеченным в журналах, киберпреступники переименовали копии PowerShell и двоичный файл для запуска приложений Microsoft HTML (mshta.exe), из-за чего специалисты Sophos назвали эту атаку «PS Rename».

Бэкдор отвечает за установку модулей кибератаки и выполняет сценарий VBScript, который загружает и запускает второй бэкдор при перезапуске системы. Обзор атаки от компании Sophos:

Программа-вымогатель LockBit начинает шифровать данные через 5 минут после проникновения в сеть

«Сценарии кибератаки LockBit также пытаются обойти интегрированный в Windows 10 интерфейс защиты от вредоносных программ AMSI, напрямую применяя исправления к нему в памяти», – отметил Шон Галлахер, старший исследователь киберугроз в Sophos.

Артефакты, обнаруженные в атакованных системах, навели специалистов компании Sophos на мысль, что операторы вымогательского ПО LockBit используют скрипты на основе постэксплуатационной структуры PowerShell Empire. Их основная цель заключалась в том, чтобы собрать подробную информацию о сети жертвы, идентифицировать наиболее ценные сегменты, проверить используемые в сети защитные решения.

После выбора наиболее важных сегментов сети программа-вымогатель LockBit запускалась в памяти в течение пяти минут с помощью команды инструментария управления Windows (WMI).

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *