Эксперты по информационной безопасности компании Sophos после расследования восьми инцидентов безопасности, произошедших в небольших организациях, получили больше информации о новой программе-вымогателе LockBit.
Выяснилось, что вымогательское ПО LockBit начинает активно развертывать процессы шифрования в целевых системах через 5 минут после проникновения в сеть жертвы. Этот вредоносный софт нетипичен тем, что управляется автоматизированными процессами для мгновенного распространения по сети жертвы, обнаружения наиболее важных сегментов этой сети с конфиденциальными данными и их последующего шифрования.
В одном из случаев специалисты Sophos обнаружили, что кибератака началась со скомпрометированного информационного сервера в интернете, который запустил удаленный сценарий PowerShell, вызывающий другой сценарий, встроенный в удаленный документ Google Sheets.
Этот сценарий подключается к серверу управления и контроля для получения, последующей установки модуля PowerShell для добавления бэкдора и обеспечения устойчивости. Чтобы избежать обнаружения и остаться незамеченным в журналах, киберпреступники переименовали копии PowerShell и двоичный файл для запуска приложений Microsoft HTML (mshta.exe), из-за чего специалисты Sophos назвали эту атаку «PS Rename».
Бэкдор отвечает за установку модулей кибератаки и выполняет сценарий VBScript, который загружает и запускает второй бэкдор при перезапуске системы. Обзор атаки от компании Sophos:
«Сценарии кибератаки LockBit также пытаются обойти интегрированный в Windows 10 интерфейс защиты от вредоносных программ AMSI, напрямую применяя исправления к нему в памяти», – отметил Шон Галлахер, старший исследователь киберугроз в Sophos.
Артефакты, обнаруженные в атакованных системах, навели специалистов компании Sophos на мысль, что операторы вымогательского ПО LockBit используют скрипты на основе постэксплуатационной структуры PowerShell Empire. Их основная цель заключалась в том, чтобы собрать подробную информацию о сети жертвы, идентифицировать наиболее ценные сегменты, проверить используемые в сети защитные решения.
После выбора наиболее важных сегментов сети программа-вымогатель LockBit запускалась в памяти в течение пяти минут с помощью команды инструментария управления Windows (WMI).
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
