Гибридные облачные среды подвергаются новым тревожным атакам с использованием программ-вымогателей
Гибридные облачные среды подвергаются новым тревожным атакам с использованием программ-вымогателей. Фото: СС0
Эксперты компании по анализу угроз опубликовали в своем блоге новую запись с предупреждением о Storm-0501 — группе, использующей вирусы-вымогатели с 2021 года.
Команда предупредила, что операторы Storm-0501 нацелены на различные сферы деятельности по всей территории Соединенных Штатов: от правительства, производства до транспорта и правоохранительных органов.
Исследователи Microsoft полагают, что группа атакует компании с целью вымогательства.
При атаке Storm-0501 ищет плохо защищенные, чрезмерно привилегированные учетные записи. После компрометации они используются для доступа к локальным устройствам, а оттуда — к облачным средам. Следующий шаг — закрепиться в системе и горизонтально перемещаться по всей инфраструктуре.
Последний шаг — внедрение программы-вымогателя. В прошлом оператор Storm-0501 использовал популярные варианты, такие как Hive, BlackCat (ALPHV), Hunters International и LockBit. Однако в некоторых из последних атак группа использовала вариант программы-вымогателя под названием Embargo.
Embargo — относительно новый штамм, написанный на Rust. Исследователи Microsoft утверждают, что он использует передовые методы шифрования и работает по модели RaaS (то есть кто-то другой разрабатывает и поддерживает шифровальщик, и таким образом получает долю от конечной добычи).
При использовании Embargo Storm-0501 прибегает к старой и проверенной тактике двойного вымогательства, когда злоумышленники сначала крадут файлы жертвы, затем шифруют остальное и угрожают слить их в сеть, если жертва не заплатит выкуп.
В случаях, проанализированных Microsoft, оператор Storm-0501 использовал скомпрометированные учетные записи администраторов домена и развернул Embargo через запланированные задачи. Использованные имена двоичных файлов вымогателя были PostalScanImporter.exe и win.exe. Расширения зашифрованных файлов были .partial, .564ba1 и .embargo.
Стоит также отметить, что Storm-0501 иногда воздерживается от развертывания шифратора и просто сохраняет доступ к сети.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Перечень содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было