Вымогатель BlackCat взламывает хранилище Azure с помощью шифровальщика Sphynx
Вымогатель BlackCat взламывает хранилище Azure с помощью шифровальщика Sphynx. Фото: СС0
В ходе расследования недавнего взлома сотрудники службы реагирования на инциденты Sophos X-Ops обнаружили, что злоумышленники использовали новый вариант Sphynx с дополнительной поддержкой применения пользовательских учетных данных.
Получив доступ к учетной записи Sophos Central с помощью украденного одноразового пароля (OTP), хакеры отключили защиту от несанкционированного доступа и изменили политику безопасности. Данные действия стали возможны после кражи OTP из хранилища LastPass жертвы с помощью расширения LastPass Chrome.
Впоследствии они зашифровали системы клиента Sophos и удаленное облачное хранилище Azure, а также добавили расширение .zk09cvt ко всем заблокированным файлам. В общей сложности операторам программ-вымогателей удалось успешно зашифровать 39 учетных записей хранилища Azure.
Они проникли на портал Azure жертвы, используя украденный ключ, который предоставил им доступ к целевым учетным записям хранения. Ключи, использованные в атаке, были внедрены в двоичный файл программы-вымогателя после кодирования с использованием Base64.
Во время взлома злоумышленники также использовали несколько инструментов удаленного мониторинга и управления (RMM), таких как AnyDesk, Splashtop и Atera.
Sophos обнаружила вариант Spynx в марте 2023 года во время расследования утечки данных, которая имела сходство с другой атакой, описанной в отчете IBM-Xforce. Документ был опубликован в мае. Сообщается, что в обоих случаях для извлечения украденных данных использовался инструмент ExMatter.
В прошлом месяце команда Microsoft также обнаружила, что новый шифратор Sphynx включает в себя хакерский инструмент Remcom и сетевую структуру Impacket для горизонтального перемещения по взломанным сетям.
Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было