[RU]

[EN]
Alphazine - Only Successful People.
ГАРАНТ ПОПОЛНИТЬ ДЕПОЗИТ

Вернуться   Alphazine - Only Successful People. > Форум > Новости.

Важная информация

[Определение часового пояса]
[ Регистрация ]
Имя:
Отделение людей от роботов


 
Опции темы
Как операторам Ryuk удалось получить $34 млн выкупа
Старый   #1
Info
[Info Bot]
 
Регистрация: 21.05.2020
Сообщений: 1,316
Спасибо: 2 раз(а)
Репутация:   0  
Депозит: 0 ?
Business Level: 26 ?
Отправить личное сообщение для Info Telegram Jabber Tox PGP GPG Key
Как операторам Ryuk удалось получить $34 млн выкупа

Атака включает в себя 15 шагов и предполагает использование легитимных инструментов для тестирования безопасности.

Русскоязычная киберпреступная группировка, атакующая компании с высоким доходом с помощью вымогательского ПО Ryuk, получила от одной из своих жертв $34 млн за ключ для восстановления зашифрованных файлов.

Обозначенная как группа «один» в соответствии с идентификацией, полученной от ботнета Trickbot, который способствует развертыванию Ryuk в сетях атакуемых компаний, весьма неразборчива в жертвах. По данным специалиста компании Advanced Intelligence Виталия Кремеза, в число недавних жертв группы «один» входят предприятия технологической и энергетической сфер, финансовые сервисы, организации здравоохранения и госорганы. Согласно октябрьскому отчету ИБ-компании Check Point, в третьем квартале 2020 года группа атаковала в среднем 20 жертв в неделю.

В среднем сумма получаемого операторами Ryuk выкупа составляет 48 биткойнов (около $750 тыс.), и с 2018 года им в общей сложности удалось «заработать» $150 млн. Как сообщил Кремез, киберпреступники ведут переговоры со своими жертвами в жесткой форме и практически никогда не проявляют снисходительность.

Самый крупный подтвержденный выкуп, который удалось получить группе «один», составляет 2,2 тыс. биткойнов (около $34 млн). Проанализировав эту атаку, исследователь установил, что атака состоит из 15 шагов для поиска доступных хостов в сети, похищения учетных данных администратора и развертывания вымогательского ПО Ryuk.

Злоумышленники используют в атаке доступное ПО (в основном с открытым исходным кодом) из арсенала «красных» команд тестировщиков безопасности: Mimikatz, PowerShell PowerSploit, LaZagne, AdFind, Bloodhound и PsExec.

Атака состоит из 15 пунктов:

Исследование домена с помощью скрипта "Invoke-DACheck";

Сбор паролей хоста с помощью команды Mimikatz "mimikatz's sekurlsa::logonpasswords";

Возврат токена к исходному состоянию и создание токена для административного комментария из данных, полученных с помощью Mimikatz;

Обзор сети хоста с помощью "net view";

Сканирование портов для протоколов FTP, SSH, SMB, RDP и VNC;

Создание списка доступов на доступных хостах;

Загрузка набора инструментов для поиска Active Directory "AdFind" с пакетным скриптом "adf.bat" из "net view" и хостов с просканированными портами;

Отображение названия используемого на хосте антивирусного решения с помощью команды "WMIC";

Загрузка многофункционального инструмента для восстановления паролей LaZagne для сканирования хоста;

Удаление инструмента для восстановления паролей;

Запуск ADFind и сохранение полученных данных;

Удаление артефактов инструмента ADFind и загрузка полученных данных;

Предоставление полного доступа net share для всех, чтобы им мог воспользоваться Ryuk;

Загрузка ПО для удаленного выполнения PSExec и подготовленных сетевых хостов, удаление антивирусных решений;

Загрузка пакетных скриптов для выполнения и сетевых хостов, запуск Ryuk с помощью PSExec от лица разных скомпрометированных пользователей.


Source:
advanced-intel.com/post/anatomy-of-attack-inside-bazarbackdoor-to-ryuk-ransomware-one-group-via-cobalt-strike
blog.checkpoint.com/2020/10/06/study-global-rise-in-ransomware-attacks/
  Ответить с цитированием
Опции темы
Опции просмотра