Изображение: recraft
Группа операторов программы-вымогателя Crypto24 нацелилась на крупные компании в США, Европе и Азии, используя специализированные утилиты для обхода систем защиты, кражи данных и шифрования файлов.
По данным Trend Micro, жертвами стали организации из финансового, производственного, развлекательного и технологического секторов. Исследователи считают, что Crypto24, вероятно, создана бывшими участниками ликвидированной группы по распространению ransomware, обладающими значительным опытом и техническими навыками.
После проникновения в сеть злоумышленники:
- активируют или создают локальные учётные записи с административными правами;
- проводят разведку инфраструктуры через кастомные скрипты для сбора данных об учётках, оборудовании и дисках;
- разворачивают вредоносные службы и задачи:WinMainSvc — кейлоггер;
MSRuntime — загрузчик шифровальщика.
Ключевым элементом атаки стал модифицированный инструмент RealBlindingEDR, предназначенный для отключения защитных агентов различных EDR-систем. Версия Crypto24 извлекает название вендора из метаданных драйвера, сверяет с «жёстким» списком и при совпадении деактивирует хуки и обратные вызовы на уровне ядра, фактически «ослепляя» механизм обнаружения.
Исследователи предупреждают, что сочетание опыта, целенаправленных атак и передовых техник обхода защиты делает Crypto24 серьёзной угрозой для критически важных компаний.
Оригинал публикации на сайте CISOCLUB: "Хакеры из Crypto24 применяют модифицированный инструмент обхода EDR для атак на крупные организации".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.