Операторы вымогателя Ryuk обновили методы взлома
19 апреля 2021 года
Исследователи в области кибербезопасности из компании Advanced Intelligence (AdvIntel) сообщили (Архивная копия от 19 апреля 2021 на Wayback Machine) о новых методах взлома, используемых операторами вымогательского ПО Ryuk. По словам экспертов, преступники в последнее время чаще компрометировали открытые RDP-соединения для получения первоначального доступа в сети жертв.
Злоумышленники проводили масштабные брутфорс-атаки и использовали технику «распыления» паролей (password spray) в ходе атак на системы с включенным Remote Desktop Protocol для компрометации учетных данных пользователей. Преступники осуществляли целенаправленный фишинг и использовали кампании BazaCall для распространения вредоносных программ через злонамеренные центры обработки вызовов. Злоумышленники перенаправляли корпоративных пользователей на вредоносные ресурсы и обманом заставляли скачать зараженный документ Microsoft Excel.
По словам экспертов, операторы Ryuk проводят разведку в два этапа. Первый этап состоит в определении ценных ресурсов на скомпрометированном домене, включая информацию об общих сетевых ресурсах, пользователей, организационных единицах Active Directory. Второй — в обнаружении информации о доходах компании для определения суммы выкупа, которую жертва может позволить себе заплатить для восстановления систем.
Для перечисления информации об активном каталоге преступники использовали инструменты AdFind и Bloodhound. Дополнительная разведка проводится с помощью инструмента Cobalt Strike.
Преступники также использовали инструмент с открытым исходным кодом KeeThief для хищения учетных данных из диспетчера паролей KeePass и инструмент CrackMapExec для хищения учетных данных администратора и перемещения по сети жертвы. KeeThief применялся для обхода EDR и других средств защиты путем кражи учетных данных локального IT-администратора. Еще одна тактика заключалась в использовании портативной версии Notepad ++ для запуска PowerShell-скриптов на системах с ограничением выполнения PowerShell.
По данным AdvIntel, операторы Ryuk в нынешнем году эксплуатировали уязвимости повышения привилегий в компоненте Windows Win32k ( CVE-2018-8453 ) и в программном продукте Microsoft SharePoint ( CVE-2019-1069 ).
Источники[править]
Эта статья содержит материалы из статьи «Операторы вымогателя Ryuk обновили методы взлома», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.