Новая хакерская группировка Muliaka, о которой сообщает компания по информационной безопасности F.A.C.C.T., использует вымогательское программное обеспечение в своей деятельности. Она начала проводить атаки против различных российских организаций с декабря 2023 года.
В своей киберпреступной активности группа активно применяет различные методы для организации своих атак — интересным моментом в действиях этой киберпреступной группы является использование популярных корпоративных антивирусных программ для запуска вредоносного ПО на компьютерах, работающих под управлением операционной системы Windows.
Эксперты компании F.A.C.C.T. рассказали о том, что в начале 2024 года хакерам группировки Muliaka удалось взломать одну из крупных российских организаций, зашифровать у неё все устройства, работающие на операционной системе Windows, а также виртуальную инфраструктуру на VMware ESXi.
После того как внутренняя IT-инфраструктура целевой организации была успешно скомпрометирована, хакеры выжидали несколько недель и только после этого начали шифровать данные в сетях атакованной компании. В качестве главного вектора проникновения выступал VPN-сервис организации, а сервис дистанционного управления WinRM (Windows Remote Management) помог злоумышленникам перемещаться по отдельным узлам ИТ-инфраструктуры.
Дистанционный запуск шифровальщика хакерами был осуществлён с применением инсталляционного пакета и соответствующей задачи. При этом, как рассказывают аналитики компании F.A.C.C.T., наличие антивирусного программного обеспечения в IT-инфраструктуре не помогло потенциальной жертве, так как киберпреступники использовали его для продвижения по внутренней сети организации.
Для лишения атакованной компании резервных копий, хакерская группа запускает дополнительные PowerShell-скрипты update.PS1. Основной задачей, которую они выполняют, является остановка и запрет службы баз данных и резервного копирования, а также удаление точек восстановления и теневых копий.
Оригинал публикации на сайте CISOCLUB: "Хакеры-вымогатели группировки Muliaka проводят атаки против российских организаций".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
