«Лаборатория Касперского» сообщила по результатам проведения своего нового исследования, что хакерская группировка LockBit, использующая в своих атаках вымогательское программное обеспечение, до сих пор проявляет серьёзную активность, несмотря на взлом её ИТ-инфраструктуры со стороны правоохранительных органов 11 стран мира. Теперь внимание экспертов по кибербезопасности привлёк недавний крупный киберинцидент в Западной Африке.
По словам аналитиков «Лаборатории Касперского», хакеры группировки LockBit, вооружившись украденными учётными данными администратора, внедрили специальный вариант вредоносного ПО-шифровальщика, оснащённого функционалом самораспространения. Воспользовавшись привилегированным доступом, они взломали корпоративную инфраструктуру.
«Билд LockBit 3.0 просочился в открытый доступ в 2022 году, но злоумышленники до сих пор активно используют его для создания индивидуальных версий — и он даже не требует продвинутых навыков программирования. Как показывает недавний случай, такая гибкость даёт злоумышленникам множество возможностей повысить эффективность своих атак. Это делает подобные атаки ещё более опасными, учитывая растущую частоту утечек корпоративных учётных данных», — прокомментировал Кристиан Соуза, специалист по реагированию на инциденты в «Лаборатории Касперского».
Согласно новому отчёту «Лаборатории Касперского», этот инцидент также указывает на тревожную тенденцию, когда хакеры создают сложные программы-вымогатели, способные автономно распространяться по сетям. Вариант вредоносного ПО, выявленный российской компанией, демонстрирует беспрецедентные возможности, в том числе: выдачу себя за системных администраторов и адаптивное самораспространение по сетям.
Используя учётные данные домена с высоким уровнем привилегий, программа-вымогатель LockBit также может отключать меры безопасности, шифровать общие сетевые ресурсы и стирать журналы событий, чтобы скрыть свои действия. Каждый заражённый хост становится вектором дальнейшего заражения, усиливая воздействие на сеть жертвы. Пользовательские файлы конфигурации позволяют вредоносному ПО адаптироваться к конкретным сетевым средам, повышая его эффективность и уклончивость.
Такая гибкость в сочетании с простотой использования утекшего в сеть конструктора представляет собой серьёзные проблемы для специалистов по кибербезопасности. Исследование Kaspersky также выявило использование злоумышленниками скрипта SessionGopher для извлечения сохранённых паролей из пострадавших систем. Хотя инциденты с отсутствием некоторых передовых возможностей наблюдались в различных отраслях и регионах, географический охват атак может расширяться.
Оригинал публикации на сайте CISOCLUB: "«Лаборатория Касперского»: новый вариант вымогательского ПО LockBit пользуется функцией самораспространения".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
