Агентство кибербезопасности и безопасности инфраструктуры, Федеральное бюро расследований и Агентство национальной безопасности представили подробное информационное сообщение с деталями о том, как «работает» группировка хакеров-вымогателей BlackMatter, сообщает издание BleepingComputer.
В CISA отмечают, что киберпреступная деятельность группировка BlackMatter принесла хакерам не менее 100 млн. долларов, которые были заработаны на выкупах после атак на компании из Великобритании, Австралии, США, Канады.
В выпущенных рекомендациях по информационной безопасности, американские ведомства CISA, ФБР и АНБ рассказывают о стратегиях, методиках, процессах, которые связаны с деятельностью хакерской группы BlackMatter. Отмечается, что с помощью рекомендацией организации из разных стран мира смогут защититься от атак вымогательского ПО.
Например, один из вариантов вредоносного софта BlackMatter, который был проведен в изолированной среде, продемонстрировал, что злоумышленники использовали скомпрометированные учетные данные администратора для выявления всех хостов в Active Directory атакованной организации. Хакеры также использовали функцию Microsoft Remote Procedure Call (MSRPC) (srvsvc.NetShareEnumAll), позволяющую показывать все доступные сетевые ресурсы для каждого хоста.
Вредоносное ПО для шифрования файлов BlackMatter также имеет версию для систем на базе Linux, которая способна шифровать виртуальные серверы VMware ESXi, которые активно применяются в различных организациях для управления ресурсами.
Рекомендации от ведомств предупреждают потенциальных жертв, что, если сравнивать с другими видами программ-вымогателей, шифрующих файлы, данные резервных копий и устройства, хакерская группировка BlackMatter удаляет или форматирует их.
BlackMatter сейчас входит в перечень главных международных хакерских группировок-вымогателей. Она появилась после распада группы DarkSide, которая распалась после крупномасштабной кибератаки компанию Colonial Pipeline в мае 2021 года.
На сайте группировки вымогателей перечислены различные организации и предприятия, которые до сих пор не заплатили выкуп после атаки программы-вымогателя BlackMatter. Большая часть таких компаний располагается в США.
Недавно группировка BlackMatter атаковала IT-компанию Marketron, сельскохозяйственный холдинг NEW Cooperative, технологическую корпорацию Olympus.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: Facebook | VK | Twitter | Instagram | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Pulse.
