-
добавить в избранное
Чужая ошибка рискует стать вашей
29 октября 2020
Очень хочется сказать, что сейчас мы расскажем поучительную историю – но не получается. Историю-то мы расскажем, но вот те, кто не пострадал, выводы из нее сделают вряд ли. Однако попытаться следует!
Энергетическая компания Enel Group во второй раз в этом году подверглась атаке программ-вымогателей. На этот раз группировка злоумышленников Netwalker просит с нее выкуп в размере 14 миллионов долларов за ключ дешифрования и отказ от публикации нескольких терабайт украденных данных.
В начале июня внутренняя сеть Enel была атакована программой-вымогателем Snake, также известной как EKANS, но эта попытка была обнаружена до того, как вредоносная программа могла распространиться.
19 октября было опубликовано требование о выкупе от Netwalker.
По данным Netwalker, они украли у Enel около 5 терабайт данных и готовы обнародовать их часть в течение недели. Они также заявили, что «проанализируют каждый файл на предмет интересных вещей» и опубликуют его на своем сайте утечки.
Эта тактика предназначена для усиления давления и принуждения компании-жертвы к выплате.
Пострадавшая компания – одна из крупнейших в европейском энергетическом секторе: 61 000 000 клиентов в 40 странах. По состоянию на 10 августа компания занимает 87-е место в рейтинге Fortune Global 500 с выручкой почти 90 миллиардов долларов в 2019 году.
NetWalker впервые появился в августе 2019 года. В своей первоначальной версии вымогатель носил имя Mailto, но к концу 2019 года был переименован в NetWalker.
Программа-вымогатель работает по схеме Ransomware-as-a-Service (RaaS) с закрытым доступом через портал программы-вымогателя. Банды хакеров регистрируются на данном портале и проходят процесс проверки, после чего им предоставляется доступ к веб-порталу, где они могут создавать собственные версии вымогателя.
Далее вымогатель распределяется по бандам второго уровня и каждая группа распространяет вымогатель так как она хочет.
Об этой атаке сведений пока нет, но обычно хакерские группировки используют характерные техники проникновения.
Злоумышленник вошел в систему через RDP, используя учетную запись DomainName \ Administrator, попытался запустить Cobalt Strike Beacon, а затем сбросил дамп памяти (сдампил) с помощью ProcDump и Mimikatz. Затем он подключился к контроллеру домена по протоколу RDP, используя PsExec запустил вымогатель NetWalker на всех присоединенных к домену системах.
Вначале был запущен скрипт c37.ps1. Через несколько минут был запущен c37.exe, который копирует себя во временный каталог, а затем останавливается.
Бинарный файл c37.exe включает код Neshta, poison, BazarBackdoor, XMRig и большую часть CobaltStrike.
Попытка запуска исследователями данных программ в песочнице не была успешной - , что говорит нам о том, что эти маяки включают методы обхода песочницы.
… Через несколько минут после запуска AdFind открылась командная строка, и следующие команды были либо скопированы и вставлены медленно, либо введены вручную.
Вскоре после этого сценарий с именем pcr.bat был удален и выполнен.
На все про все у хакеров ушло ровно 1 час 5 минут. Первичное проникновение произошло через использование скомпрометированной учетки RDP.
Мы привели не весь отчет, полностью он доступен по ссылке выше (на английском). Но основные дыры в безопасности очевидны.
- Слабые пароли администратора системы, что позволило злоумышленникам войти в сеть.
- Наличие удаленного доступа в сеть без ограничений по адресам – то есть без перечисления адресов, с которых доступен тот или иной компьютер.
- Возможность бесконтрольного запуска программного обеспечения.
- Отсутствие проверки поступающих файлов песочнице класса Dr.Web vxCube. Хакеры внедрили методы обхода общедоступных песочниц.
И, как мы видим, несмотря на гигантскую прибыль атакованных компаний и очевидно немалые суммы, выделявшиеся на безопасность, хакерам не пришлось применять изощренные техники взлома, подкупать или шантажировать.
#взлом #выкуп #вымогательство #защита_от_потери_данных #история #ущерб
Антивирусная правДА! рекомендует
Вирус проник в локальную сеть и заразил все клиенты а также NAS с бекапами.
Запрос в техническую поддержку «Доктор Веб»
Есть хорошая поговорка – о том, что умные учатся на чужих ошибках. Но судя по всему, пока всех до одного не взломают, стойкие пароли использоваться не будут, равно как не будет разделения сетей на отдельные подсети, а те машины, на которые осуществляется резервное копирование, будут по-прежнему доступны по сети.
А рекомендация наша очевидна: учитесь на чужих ошибках!
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Lia00
14:08:49 2020-11-20
Dragstars
18:41:38 2020-11-01
Неуёмный Обыватель
23:17:36 2020-10-30
anatol
20:23:34 2020-10-30
Альфа
23:10:53 2020-10-29
Karnegi
21:35:29 2020-10-29
tigra
21:07:57 2020-10-29
Dvakota
21:06:22 2020-10-29
Korney
21:00:03 2020-10-29
orw_mikle
20:27:35 2020-10-29
Serg07
19:55:45 2020-10-29
Геральт
19:45:49 2020-10-29
Masha
18:16:51 2020-10-29
L1t1um
17:55:04 2020-10-29
Татьяна
17:54:27 2020-10-29
vinnetou
15:34:48 2020-10-29
Денисенко Павел Андреевич
14:03:11 2020-10-29
Пaвeл
12:36:56 2020-10-29
SGES
12:21:02 2020-10-29
GREEN
10:51:29 2020-10-29
Иногда думаешь, ну как, как это могло случиться? Немаленькая же компания, всё под присмотром (должно быть!). Ведь наверняка всё есть: деньги, рабочая инфраструктура ... Была бы только "добрая воля" руководства. Но нет, ничего не помогает против разгильдяйства, только собственный "горький" опыт.
ka_s
10:44:17 2020-10-29
kozinka.ru
10:33:01 2020-10-29
vkor
09:55:00 2020-10-29
Alexander
09:16:05 2020-10-29
Правильные, хорошие и, главное, реально исполнимые рекомендации даёт нам Dr.Web. И о стойких паролях, и о разделении сетей, и об изолировании второй "корзины с яйцами", - "заначки", которая, на самом деле, - это backup.
Но может быть, не совершив "своих" ошибок невозможно понять и глубоко оценить кажущиеся ошибки других? Кто же это может знать наверняка?! Ведь, как правило, мы обсуждаем уже случившееся событие, которое произошло с нами или с кем-то другим...
Но вот что я знаю наверняка, - так это то, что учиться действительно необходимо. Учиться не формально, а въедливо и глубоко, изучая и анализируя окружающий нас всех мир. В том числе и народную мудрость в виде поговорок, сказок и притчей.
И мудрость эта говорит, освежи-ка ты свои знания об Dr.Web Security Space... Не откладывай на завтра то, что можно сделать сегодня!
Vlad X
09:03:36 2020-10-29
создавать базу хранения,на это надо время.Вот и не хотят
заморачиваться.
Stan
08:52:04 2020-10-29
Stan
08:51:32 2020-10-29
maestro431
08:05:08 2020-10-29
runikot
07:54:04 2020-10-29
Sergey
07:14:57 2020-10-29
Любитель пляжного футбола
06:36:03 2020-10-29
Slava90
05:55:15 2020-10-29
achemolganskiy
05:47:52 2020-10-29
Morpheus
04:41:00 2020-10-29