Издатель Elden Ring подвергся атаке программы-вымогателя
13 июля 2022 г.Группа вымогателей BlackCat, также известная как ALPHV, утверждает, что взломала системы Namco Bandai, японского издателя видеоигр, стоящего за такими первоклассными играми, как Elden Ring и Dark Souls.
Эта новость также была впервые опубликована Vx-underground, а позже сообщила два группы наблюдения за вредоносными программами. BlackCat — один из самых популярных в мире штаммов программ-вымогателей, который даже привлек внимание Федерального бюро расследований (ФБР).
Однако Namco Bandai в настоящее время хранит молчание по этому поводу, что затрудняет подтверждение подлинности этих заявлений.
В центре внимания ФБР
В апреле 2022 г. ФБР выпустило предупреждение о том, что штамм BlackCat, представляющий собой «новую опасную программу-вымогатель», за два месяца заразил не менее 60 различных организаций. Тогда ФБР описало BlackCat как «программу-вымогатель как услугу» и заявило, что ее вредоносное ПО было написано на Rust.
Хотя большинство разновидностей программ-вымогателей пишутся либо на C, либо на C++, ФБР утверждает, что Rust — «более безопасный язык программирования, предлагающий повышенную производительность и надежную одновременную обработку».
BlackCat обычно требует оплату в биткойнах и Monero в обмен на ключ дешифрования, и хотя требования обычно «в миллионов», часто принимал платежи ниже первоначального спроса, сообщает ФБР.
Предположительно, группа тесно связана с Darkside и имеет «обширные сети и опыт» в эксплуатации вредоносных программ и программы-вымогатели.
После получения начального доступа к целевым конечным точкам группа приступит к компрометации учетных записей пользователей и администраторов Active Directory и использует планировщик заданий Windows для настройки вредоносных объектов групповой политики (GPO) для развертывания программы-вымогателя.< /p>
Первоначальное развертывание использует сценарии PowerShell в сочетании с Cobalt Strike и отключает функции безопасности в сети жертвы.
После загрузки и блокировки как можно большего количества данных группа попытается развернуть программу-вымогатель на дополнительные хосты.
ФБР рекомендует проверять контроллеры домена, серверы, рабочие станции и активные каталоги на наличие новых или неопознанных учетных записей пользователей; регулярное резервное копирование данных, просмотр планировщика заданий на наличие неопознанных запланированных задач и требование учетных данных администратора для любых процессов установки программного обеспечения в качестве мер по смягчению последствий.
BlackCat также недавно присоединилась к децентрализованной сети участников угроз Conti и несколько раз успешно взламывала серверы Microsoft Exchange для развертывания программ-вымогателей.
.Через: PCGamer
Оригинал