Угрозы Abyss Locker: Защита от современных атак вымогателей

В 2023 году на киберпространстве появилась группа хакеров-вымогателей Abyss Locker, которая приобрела notoriety благодаря быстроте и эффективности своих атак на критически важные сетевые устройства. Основная цель этих атак – получение доступа к внутренним сетям через уязвимости в устройствах VPN, таких как продукты SonicWall.

Методы атаки

Abyss Locker нацеливается на устройства резервного копирования, используя учетные записи служб с высокими привилегиями. Для этого они применяют модифицированные инструменты PowerShell с открытым исходным кодом для сбора учетных данных и управления системами резервного копирования Veeam. Один из конкретных сценариев PowerShell — veeam11.ps1 — демонстрирует заметное сходство кода с инструментом Veeam-Get-Creds.ps1.

Избежание обнаружения

Чтобы оставаться незамеченными, хакеры используют несколько методов:

• Отключение Windows Defender и агентов endpoint security через изменения в реестре
• Использование уязвимых драйверов для отключения элементов управления безопасностью
• Применение инструментов, таких как Chisel и стандартный двоичный код SSH, для обеспечения надежной коммуникационной системы управления (C2)

Цели и уязвимости

Abyss Locker уделяет особое внимание устройствам VMware ESXi, используя сетевые подключения для получения доступа по SSH. На этом этапе они осуществляют тщательное сканирование сети. Устройства сетевого хранения данных (NAS) также становятся мишенью: злоумышленники зачастую создают бэкдор-аккаунты для закрепления в среде.

Методы перемещения и фильтрации данных

Для бокового перемещения злоумышленники используют такие инструменты, как PsExec и различные скрипты Impacket. Фильтрация данных осуществляется с помощью Rclone, который облегчает скрытую передачу конфиденциальной информации в облачные сервисы, такие как AWS.

Шифрование и требования о выкупе

После фильтрации данных хакеры внедряют программы-вымогатели как в системах Windows, так и на хостах ESXi, шифруя файлы и генерируя уведомления о требовании выкупа, озаглавленные WhatHappened.txt. Для предотвращения восстановления данных они пытаются удалить теневые копии томов.

Стратегии защиты

Для снижения рисков, связанных с Abyss Locker, рекомендуется следующее:

• Защита периферийных устройств и брандмауэров
• Внедрение сегментации сети
• Защита учетных данных с помощью управления привилегированным доступом
• Обеспечение надежной защиты резервных копий

Постоянный мониторинг сетевого трафика, особенно SSH и туннелирования, а также своевременное исправление ошибок и сканирование уязвимостей имеют решающее значение для противодействия новым угрозам.

Заключение

Группа Abyss Locker применяет многогранный подход к атакам программ-вымогателей, который включает изощренное использование сетевых уязвимостей, сбор учетных данных и перемещение внутри сети с помощью надежных инструментов. Эффективные контрмеры требуют бдительности при мониторинге, управлении доступом и строгих мер безопасности во всех сетях, особенно в критически важных сегментах инфраструктуры.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.