Операторы вымогателя Hello использовали методы китайских APT-группировок
23 сентября 2021 года
Команда исследователей в области кибербезопасности из компании eSentire рассказала подробности о загадочной кибератаке, в ходе которой использовались сложные методы установки относительно простой программы-вымогателя.
Вредоносная кампания была обнаружена, когда киберпреступники попытались осуществить атаку с помощью программы-вымогателя на неназванную организацию по тестированию безопасности продуктов. Атака была обнаружена и остановлена до того, как стала успешной, но предоставила исследователям из eSentire достаточно информации для анализа используемых тактик, методов и процедур.
Использованные в данной вымогательской кампании методы имели сходство с методами китайской киберпреступной группировки APT27 (также известной как Emissary Panda). По словам экспертов, киберпреступники могли загрузить простое вымогательское ПО Hello в IT-среду жертву и таким образом отвлечь ИБ-экспертов от своих истинных мотивов — кибершпионажа.
Хакеры использовали уязвимости в Microsoft SharePoint и инструмент для удаленного доступа China Chopper, выполняющий роль бэкдора на скомпрометированных системах. Web-оболочка China Chopper часто используется китайскими APT-группировками и злоумышленниками.
Преступники также использовали Mimikatz для похищения паролей, повышения привилегий, попытки отключить защитные решения и выполнения PowerShell-команд с помощью техники маскарадинга, маскируясь под легитимное решение «Антивирус Касперского».
Применяя тактику киберпреступных группировок, злоумышленники предположительно намеревались увести расследование по ложному следу.
Вымогательское ПО Hello шифрует файлы c добавлением расширения.hello и оставляет записку с требованием выкупа. Программа-вымогатель Hello является довольно простой по стандартам самых известных программ-вымогателей в 2021 году, поскольку группировка не угрожает жертвам утечкой данных и не имеет сайта утечек данных для публикации похищенной информации. Кроме того, группировка не работает по бизнес-модели «вымогательское-ПО-как-услуга», как многие из наиболее распространенных на сегодня вариантов вымогателей.
Источники[править]
Эта статья содержит материалы из статьи «Операторы вымогателя Hello использовали методы китайских APT-группировок», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.