Суббота, 23 января, 08:31
дома безопасность Программа-вымогатель LockBit: бесшумно, но быстро атакует свои цели

Программа-вымогатель LockBit: бесшумно, но быстро атакует свои цели

Программа-вымогатель LockBit разрабатывает свою программу всего за пять минут шифрование в системах, как только он вторгается в сеть жертвы. LockBit управляется автоматизированными процессами для быстрого развертывания в сетях жертв, обнаружения ценных систем и их блокировки.

LockBit-атаки оставляют мало следов, которые впоследствии могут быть проанализированы экспертами по безопасности, поскольку вредоносных программ загружается в системную память, при этом архив файлы журнала и резервные копии, которые необходимо удалить во время выполнения.

LockBit Ransomware

После расследования восьми атак на более мелкие организации следователи службы безопасности Sophos смогли подключить больше компонентов, чтобы получить более четкое представление о том, как работает LockBit. В частности, в одном случае они обнаружили, что атака запускается скомпрометированным Internet Information Server, выполняющим удаленный сценарий PowerShell, вызывающим другой сценарий, встроенный в удаленный документ Google Листы. Этот сценарий подключен к командному серверу (C&C) для установки модуля PowerShell с целью добавления задняя дверь и достижение стойкости в целевой системе.

LockBit Ransomware

Чтобы избежать обнаружения и скрытия в журналах, злоумышленник переименовал копии PowerShell и двоичный файл для запуска приложений. Microsoft HTML (mshta.exe). Sophos назвал этот инцидент PS Переименовать атака.

Бэкдор отвечает за установку модулей атаки и выполнение сценария VBScript, который загружает и запускает второй бэкдор при перезагрузке системы. Шон Галлахер, глава отдела угроз в Sophos, сказал, что сценарии атаки также пытались обойти Окна 10 [AMSI], применяя патчи прямо к нему в памяти.

LockBit Ransomware

Объекты, обнаруженные в системах атак, предполагают использование скриптов на основе Постэксплуатационная структура PowerShell Empire. Целью злоумышленников было собрать информацию о сети жертв, найти ценные системы и проверить доступные решения для защиты.

Галлахер добавил, что в этих сценариях используются регулярные выражения для поиска в реестре Windows «очень специфических типов программного обеспечения для бизнеса», используемого в торговых точках или системах бухгалтерского учета.
По словам Галлахера, вредоносный код использовал программу-вымогатель LockBit только в том случае, если цели оказались очень важными.

нападки

Согласно BleepingComputer, при обнаружении ценных целей программа-вымогатель LockBit запускалась в памяти в течение пяти минут с помощью команды Windows Management Instrumentation (WMI). В этих атаках первоначальный метод взлома остается неизвестным. В отчете, опубликованном в мае компаниями по разработке решений безопасности McAfee Labs и Northwave, подробно описано, как вымогатель LockBit получил доступ к сети жертв, перебор атакует логины администратора старого сервиса VPN. За три часа зловред зашифровал около 25 серверы и 225 компьютерных систем.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Pohackontas
Pohackontashttps://www.secnews.gr
Каждое достижение начинается с решения попробовать.

ЖИВЫЕ НОВОСТИ

Обзор процессоров Intel: Core i7-10700 против Core i7-10700K!

За прошедшие годы серия процессоров (ЦП) Intel представила серию оверклокерских моделей "K", а в последнее время - серию ...

DeLorean может вернуться как электромобиль

DMC DeLorean снят с производства почти 40 лет, но похоже, что культовый автомобиль вернется в качестве электромобиля.

Серверы Windows RDP используются для поддержки DDoS

Банды киберпреступников злоупотребляют системами протокола удаленного рабочего стола Windows (RDP), чтобы усилить нежелательные ...

SEPA: Он отказался платить выкуп, и тысячи файлов были утечкой

Тысячи украденных файлов Шотландского агентства по охране окружающей среды (SEPA) были опубликованы хакерами после того, как организация отказалась платить выкуп ...

Штрафы Valve, Capcom и Zenimax за геоисключение игр

В результате расследования Европейской комиссии группа издателей видеоигр была оштрафована на 7,8 млн евро по обвинениям в применении методов геоисключения. В...

Биткойн помогает среднему классу пережить пандемию

Регулирующие органы по-прежнему подразумевают, что биткойн - это просто инструмент для преступников, но похоже, что для среднего класса ...

Выпущен Lightworks 2021.1 для Linux, Mac и Windows

Многоплатформенное программное обеспечение для редактирования видео Lightworks Professional получило первое крупное обновление Lightworks 2021.1 для Windows, Linux и Mac.

Netflix: посмотрите 9 лучших аниме-фильмов всех времен

Одним из плюсов пандемии было то, что многие люди познакомились с миром аниме. А проблема с аниме в том ...

CHwapi: Windows BitLocker «поразила» бельгийскую больницу!

Больница CHwapi в Бельгии подверглась кибератаке 17 января, когда хакеры заявили, что зашифровали 40 серверов и 100 ...

Лотереи CPU / GPU: Newegg продает немногие на рынке

Нехватка оборудования не редкость, но пандемия усугубила ситуацию. Вся планета закрыта для ...