Программа-вымогатель BlackCat может стать намного опаснее
16 июля 2022 г.После серии недавних атак печально известная программа-вымогатель BlackCat Новое исследование показало, что может стать намного опаснее.
В отчете Sophos говорится, что злоумышленники, стоящие за программы-вымогатели теперь, похоже, добавили инструмент Brute Ratel в свой арсенал, что сделало его еще более опасным.
Brute Ratel — это проникновение инструмент для тестирования и моделирования атак, аналогичный, но менее известный, чем, например, Cobalt Strike.
Ориентация на устаревшие системы
«Что мы наблюдаем в последнее время в случае с BlackCat и другими атаками, так это то, что злоумышленники очень эффективны и действенны в своей работе. Они используют проверенные и надежные методы, такие как атаки на уязвимые брандмауэры и VPN, потому что знают, что они все еще работают. Но они демонстрируют инновации, чтобы избежать средств защиты, таких как переход на более новую платформу C2 после эксплуатации Brute Ratel в своих атаках», сказал Кристофер Бадд, старший менеджер по исследованию угроз, Sophos.
Brute Ratel — не единственный используемый инструмент, так как при анализе предыдущих инцидентов было замечено, что BlackCat использует другие коммерчески доступные инструменты с открытым исходным кодом для создания дополнительных бэкдоров и другие альтернативы удаленного доступа, такие как TeamViewer или nGrok. Очевидно, использовался и Cobalt Strike.
Обычно операторы BlackCat ищут устаревшие брандмауэры и неисправленные VPN в качестве начальной точки входа. С декабря 2021 года им удалось успешно проникнуть как минимум в четыре организации, используя уязвимости в брандмауэрах.
После того как они получат доступ к сети, они будут использовать брандмауэры для извлечения учетных данных и свободно перемещаться по всей системе.
Похоже, что BlackCat не отдает предпочтение каким-либо конкретным жертвам, поскольку угроза нацелена на компании в США, Европе и Азии.
Единственным предварительным условием для атаки является то, что бизнес работает на системах, срок эксплуатации которых истек, не использует многофакторную аутентификацию или VPN и использует плоские сети (где каждая конечная точка имеет видимость). во все другие конечные точки в сети).
«Общим знаменателем всех этих атак является то, что их было легко осуществить. В одном случае те же злоумышленники BlackCat установили криптомайнеры за месяц до запуска программы-вымогателя. Это последнее исследование подчеркивает, насколько важно следовать установленным передовым методам обеспечения безопасности; у них по-прежнему достаточно возможностей для предотвращения и пресечения атак, в том числе множественных атак на одну сеть».
- Это лучшие средства защиты от вредоносного ПО на данный момент ли>ул>
Оригинал