Вторник, 27 октября, 21:37
дома безопасность Ransomware: эти сложные мошенники доставляют катастрофические полезные нагрузки

Ransomware: эти сложные мошенники доставляют катастрофические полезные нагрузки

Microsoft проанализировала тактику и методы некоторых очень дорогих вымогателей, выпущенных в последние годы, которые не автоматизированы, а контролируются вручную.

Он предупреждает, что некоторые группы программ-вымогателей используют функции, используемые финансируемыми государством хакерами, чтобы иметь «обширные знания в области системного управления и методов безопасности», а затем предоставлять «разрушительные» полезные нагрузки программ-вымогателей.

«Основываясь на нашем исследовании, эти кампании показали, что они могут беспрепятственно работать в сетях», - заявила Microsoft.

Варианты вымогателей, включенные в исследование Microsoft: REvil, Samas или SamSam, Doppelpaymer, Bitpaymer и Ryuk. Средний спрос на вымогателей для REvil Ransomware составляет $ 260.000 XNUMX, что делает вымогателей "большой игрой" из-за выбранного цели и большие суммы это требует. Американская EMCOR Group объявила на этой неделе, что вымогатель Ryuk повлиял на выручку в четвертом квартале 4 года из-за простоя.

вымогателей

Microsoft отслеживает еще одну группу вредоносных программ под названием Parinacota в течение 18 месяцев (Microsoft использует вулканические названия для имен киберпреступников). Они взломали системы для установки майнеров криптовалюты и рассылки спама, но недавно начали разработку вымогателя Wadhrama в корпоративных сетях для проведения атак типа "разбей и захват", требуя выкуп.

Parinacota в основном используется RDP атаки грубой силы чтобы получить доступ, сканирование интернета на наличие уязвимых устройств и опробование списка популярных паролей.

Microsoft определила уникальную тактику, используемую командой. Получив доступ к сети, злоумышленники проверяют скомпрометированный компьютер на наличие интернет-соединения и возможности обработки, согласно данным аналитической группы Microsoft Threat Protection.

«Они определяют, соответствует ли машина определенным требованиям, прежде чем использовать ее для выполнения RDP-атак грубой силы по отношению к другим целям. Эта тактика, которая не использовалась аналогичными операторами программ-вымогателей, дает им доступ к дополнительным инфраструктура с меньшей вероятностью будет заблокирован. «Фактически, группа наблюдала, как несколько месяцев подряд позволяла своим инструментам работать на скомпрометированных машинах», - говорится в сообщении группы.

Используя украденные учетные данные в ходе атаки, группа также использует права администратора, чтобы службы безопасности не могли отслеживать свои действия, а затем загружает ZIP файл полный хакерских инструментов, таких как Mimikatz и Sysinternals ProcDump, для следующих этапов атаки путем сокрытия учетных данных.

Из-за всей этой работы организации, которым удается очистить инъекцию Wadhrama, часто не могут полностью удалить постоянные механизмы, оставляя цель уязвимой для повторного заражения.

Команда заряжается от 0,5 до 2 Bitcoins (От $ 4,500 до $ 18,268 XNUMX) за поврежденную машину. Злоумышленники приспосабливают требование к тому, насколько критичной является машина.

Часть сообщения Microsoft состоит в том, чтобы объяснить, почему группы безопасности должны включать функции, доступные в Защитнике Windows ATP.

Рюк - еще один пример вымогателей-людей, которые часто получают доступ к сетям через трояна Trickbot.

Microsoft отмечает, что Trickbot часто рассматривается как угроза низкого приоритета и, следовательно, не сразу изолируется.

Это Trickbot «Администраторы Ryuk также получают выгоду от пользователей, которые действуют как локальные администраторы в средах и используют эти права для отключения инструментов безопасности, которые могут мешать их действиям».

Некоторые компании упростили эти атаки, ослабив свою внутреннюю безопасность. Microsoft говорит, что некоторые успешные кампании запуска вымогателей вручную серверы которые имеют антивирусное программное обеспечение и другие преднамеренно отключенные предохранители, которые администраторы могли использовать для повышения производительности. "На самих серверах часто нет брандмауэр и МИД«У них слабые учетные данные домена и неслучайные пароли локальных администраторов», - сказал он.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ

00: 01: 47

Нарушение данных в юридической фирме раскрывает данные сотрудников Google

Иммиграционная юридическая фирма Fragomen, Del Rey, Bernsen & Loewy, LLP заявила, что в ней произошла утечка данных, которая привела к утечке личных данных ...

Как установить файл .watchface на Apple Watch

Apple Watch позволяет настроить циферблат часов для отображения всевозможной полезной информации. Но знаете ли вы ...

Пять крупнейших утечек данных в 21 веке

Данные становятся все более и более востребованными, поскольку наша повседневная жизнь становится все более цифровой. Технологические гиганты, монополизирующие данные, - это ...

Microsoft ограничивает доступность Windows 10 20H2

В настоящее время Microsoft ограничивает доступность Windows 10 20H2, чтобы предоставить всем пользователям, которые хотят ...

Как включить новую функцию Chrome Подробнее

Последняя версия браузера Google Chrome v86, выпущенная ранее в этом месяце, содержит секретную функцию под названием Read ...

Как выбрать собственный цвет для меню Пуск

Начиная с обновления за октябрь 2020 года, Windows 10 по умолчанию используется в теме, которая удаляет яркие цвета из ...

Телескоп НАСА обнаружил питьевую воду на Луне

Одиннадцать лет назад космический корабль навсегда изменил наш взгляд на Луну. Данные, собранные ...

Microsoft: расширяет возможности обнаружения атак с использованием паролей.

Microsoft значительно улучшила способность обнаруживать атаки со спреем паролей в Azure Active Directory (Azure AD) и достигла точки ...

Как не дать компаниям найти наш номер телефона

В эпоху рекламы чем больше известно о пользователях, тем удобнее для компаний. И, в частности, ...

Нарушение в психотерапевтической клинике привело к шантажу пациентов

Два года назад в финской психотерапевтической клинике произошла кибератака, которая привела к краже данных и требованию выкупа. Сейчас,...