Недавнее расследование показало, что простая атака методом перебора привела к более масштабной сети программ-вымогателей, вероятно, связанной с посредниками первоначального доступа. Ученые из Центра управления безопасностью (SOC) ввели изоляцию по всей сети, чтобы предотвратить горизонтальное перемещение в скомпрометированной среде.
Методы атаки
Методы, используемые хакерами в ходе таких атак, включают:
- вторжение по протоколу удаленного рабочего стола (RDP)
- взлом VPN
Эти действия обычно приводят к перебору учетных данных и горизонтальному перемещению по сетям.
Инструменты киберпреступников
Хакеры часто используют такие инструменты, как:
- Procdump
- Mimikatz
Они предназначены для извлечения учетных данных из подсистемы управления локальной безопасностью Windows (LSASS). Альтернативные методы включают:
- сброс данных из реестра с помощью Secretsdump
- кражу файлов cookie браузера
Раскрытие угроз
После тщательного изучения IP-адресов, связанных с атакой, были выявлены угрозы, связанные с программами-вымогателями Hive и BlackSuit, о которых сообщает CISA. Это исследование также привело к проверке сертификатов TLS, привязанных к этим IP-адресам, и позволило выявить вредоносный домен specialsseason.com.
Название этого домена намекает на «охоту на крупную дичь» — термин, связанный с финансово мотивированными группами вымогателей, нацеленными на крупные организации. Более того, было обнаружено наличие других вредоносных доменов, таких как 1vpns.com, которые обманчиво похожи на легальный VPN-провайдер и, вероятно, поддерживают киберпреступную деятельность, предлагая анонимность и доступ без регистрации.
Распределенная сеть и ее последствия
Наличие нескольких индикаторов с кодами стран наводит на мысль о распределенной сети, что подтверждается обнаружением различных служб прослушивания в разных портах. Это исследование продемонстрировало оперативный ландшафт программ-вымогателей и способы получения учетных данных.
Итоги и важность комплексного реагирования
Этот случай подчеркивает важность комплексного реагирования на инциденты. Первоначальная атака методом перебора послужила отправной точкой для выявления связанных компонентов экосистемы программ-вымогателей.
Важно, чтобы специалисты по безопасности выходили за рамки поверхностных показателей и проводили более глубокие расследования, ориентируясь на:
- поведение и мотивы хакеров
- аспекты, выходящие за рамки типичных индикаторов компрометации (IOCs)
- тактики, методы и процедуры (TTP)
В целом, этот случай представляет собой важный пример в продолжающейся борьбе с вредоносными программами-вымогателями, которые затрагивают различные организации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ атаки методом перебора: угроза программ-вымогателей".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.