Среда, 3 марта, 01:46
дома безопасность Программа-вымогатель Ryuk: отправка сообщения электронной почты о взломе системы занимает 29 часов

Программа-вымогатель Ryuk: отправка сообщения электронной почты о взломе системы занимает 29 часов

X X ± атака На отправку вымогателя Ryuk ушло 29 часов e-mail потенциальной жертве в полном объеме нарушение и криптография систем, согласно Отчет DFIR, проект, который предоставляет информацию об угрозах от реальных атак, наблюдаемых приманок из.

Программа-вымогатель Ryuk изначально задумывалась как проект хакерам Северная Корея из-за своего сходства с программой-вымогателем «Гермес», но позже была связана с российскими хакерами. За последние два года программа-вымогатель Ryuk стояла за большим количеством громких атак, в том числе с участием Универсальной службы здравоохранения штата Пенсильвания (UHS) и больницы. система регионального медицинского центра DCH в Алабаме.

Ryuk ransomware

В случае атаки, обнаруженной в отчете DFIR, все началось с вредоносного электронного письма со ссылкой для загрузки. Погрузчик Bazar / Kegtap, который был внедрен в несколько процедур и идентифицировал зараженную систему с помощью утилит. Windows такие как nltest и net group, а также сторонний инструмент AdFind.

Это вредоносных программ молчал около суток, после чего началась вторая фаза разведки с использованием тех же инструментов, что и Рубеуса. Данные были переданы на удаленный сервер и захватчики двинулись в сторону.
Чтобы взломать другие системы в сети, злоумышленники использовали различные методы, например: удаленный WMI (инструментарий управления Windows), удаленное выполнение службы с помощью PowerShell и маяк Cobalt Strike, «брошенный» в SMB. Маяк Cobalt Strike затем использовался в качестве основной точки фокусировки.

Ryuk ransomware

Затем во всей среде были созданы дополнительные маяки, и PowerShell использовался для отключения Защитника Windows. Программа-вымогатель Ryuk запускалась через одну минуту после передачи через SMB от оси, и как только началось шифрование, первыми были "поражены" серверы, используемые для хранения резервных копий.

Отчет DFIR, в котором представлен всесторонний технический анализ атак, показывает, что вымогатель Ryuk также передавался на другие серверы в сети через SMB. Кроме того, согласно отчету DFIR, в целом это кампания длилась 29 часов - от первоначального запуска Bazar до программы-вымогателя для всего домена. Если жертвы пропустят первый день открытия, у них будет чуть более 3 часов, чтобы ответить, прежде чем их спросят. выкуп.

Ryuk ransomware

После шифрования систем злоумышленники потребовали выкуп около 600 биткойнов (около 6 миллионов долларов). Однако они были готовы вести переговоры с потерпевшими.

Вчера Microsoft объявил, что разрушил свою инфраструктуру TrickBot, ботнет, используемый в качестве основного канала доставки вымогателей Ryuk.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Pohackontas
Pohackontashttps://www.secnews.gr
Каждое достижение начинается с решения попробовать.

ЖИВЫЕ НОВОСТИ