8298 подписчиков

Хакеры атакуют организации с помощью новой программы-вымогателя M0r0k T34m

9 февраля 20249 фев 2024

1 мин

Изображение:
Towfiqu barbhuiya (unsplash)

Хакеры атакуют различные организации, распространяя нового шифровальщика, а затем требуют выкуп за расшифровку.

Команда отдела
реагирования и цифровой криминалистики Angara SOC обнаружила новую программу-вымогатель M0r0k T34m (Morok Team) (Sunset Wolf).

В качестве
закрепления в уже скомпрометированной сети и коммуникации с сервером управления
используется утилита ngrok для проброса порта 3389 (RDP). Это позволяет открыть
доступ к внутренним ресурсам машины.

Важно отметить,
что атакующие также создают учетные записи, которые в последующем добавляют в
привилегированные группы, а выбирают названия учетных данных максимально
похожих на легитимные, в том числе «однофамильцев» действующих сотрудников. По
мнению экспертов из области информационной безопасности, риск заражения может
быть снижен за счет мониторинга информационной инфраструктуры, а именно обнаружение
и реагирование на массовое удаление, создание или изменение файлов, добавление
привилегированных учетных записей, использование утилит для удаленного
подключения и все внешние подключения.

Юлия Парфенова, менеджер направления «контроль целостности» Efros Defence Operations, ООО «Газинформсервис» отмечает, что практически любую IT-инфраструктуру можно взломать, все зависит от компетентностей хакера.

«Вопрос лишь в том, как долго злоумышленник будет пробираться сквозь системы защиты и сможет оставаться незамеченным в системе. Хакеры и запущенные ими вирусы неизбежно оставляют свои следы. В данной ситуации важно иметь средства защиты, которые смогут обнаружить эти следы и сразу об этом сообщить, предоставив специалистам по безопасности возможность проанализировать изменения и предпринять меры по противодействию», – говорит Юлия Парфенова.

Оригинал публикации на сайте CISOCLUB: "Хакеры атакуют организации с помощью новой программы-вымогателя M0r0k T34m".