Программа-вымогатель BlackCat может стать намного опаснее
Программа-вымогатель BlackCat может стать намного опаснее. Фото: СС0
В отчете Sophos говорится, что злоумышленники, стоящие за программой-вымогателем , теперь, по-видимому, добавили в свой арсенал инструмент Brute Ratel, что сделало зловред еще более опасным.
Brute Ratel — инструмент для тестирования на проникновение и моделирования атак, похожий, но менее известный, чем, например, Cobalt Strike.
Из сообщения Кристофера Бадда, старшего менеджера по исследованию угроз Sophos:
«То, что мы наблюдаем в случае с BlackCat и другими атаками в последнее время, заключается в том, что злоумышленники очень эффективны и эффективны в своей работе. Они используют проверенные и надежные методы, такие как атаки на уязвимые брандмауэры и VPN, потому что знают, что они все еще работают. Но они демонстрируют инновации, чтобы избежать средств защиты, таких как переключение на более новую платформу C2 после эксплуатации Brute Ratel в своих атаках».
Brute Ratel — не единственный используемый инструмент, так как при анализе предыдущих инцидентов было замечено, что BlackCat использует другие коммерчески доступные инструменты с открытым исходным кодом для создания дополнительных бэкдоров и другие альтернативы удаленного доступа, такие как TeamViewer или nGrok. Очевидно, использовался и Cobalt Strike.
Обычно операторы BlackCat искали устаревшие брандмауэры (и непропатченные VPN - сервисы в качестве начальной точки входа). С декабря 2021 года им удалось успешно проникнуть как минимум в четыре организации, используя уязвимости в брандмауэрах.
Как только они получат доступ к сети, они будут использовать брандмауэры для извлечения учетных данных и свободно перемещаться по всей системе.
Оператор BlackCat, по-видимому, не отдает предпочтение каким-либо конкретным жертвам, поскольку угроза нацелена на предприятия в США, Европе и Азии.
Единственным предварительным условием для атаки является то, что бизнес работает на системах, которые подошли к концу срока службы, не имеют многофакторной аутентификации или VPN и используют плоские сети (где каждая конечная точка имеет доступ ко всем другим конечным точкам в сети).
Из сообщения Кристофера Бадда, старшего менеджера по исследованию угроз Sophos:
«Общим знаменателем всех этих атак является то, что их было легко осуществить. В одном случае те же злоумышленники BlackCat установили криптомайнеры за месяц до запуска программы-вымогателя. Последнее исследование подчеркивает, насколько важно следовать установленным передовым методам обеспечения безопасности; у них все еще есть много возможностей для предотвращения и пресечения инцидентов, в том числе множественных атак на одну сеть».
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было