Вы используете устаревший браузер!

Страница может отображаться некорректно.

Закодировать всё

Закодировать всё

Другие выпуски этой рубрики (35)
  • добавить в избранное
    Добавить в закладки

Чужая ошибка рискует стать вашей

Прочитали: 1010 Комментариев: 34 Рейтинг: 54

Очень хочется сказать, что сейчас мы расскажем поучительную историю – но не получается. Историю-то мы расскажем, но вот те, кто не пострадал, выводы из нее сделают вряд ли. Однако попытаться следует!

Энергетическая компания Enel Group во второй раз в этом году подверглась атаке программ-вымогателей. На этот раз группировка злоумышленников Netwalker просит с нее выкуп в размере 14 миллионов долларов за ключ дешифрования и отказ от публикации нескольких терабайт украденных данных.

В начале июня внутренняя сеть Enel была атакована программой-вымогателем Snake, также известной как EKANS, но эта попытка была обнаружена до того, как вредоносная программа могла распространиться.

19 октября было опубликовано требование о выкупе от Netwalker.

По данным Netwalker, они украли у Enel около 5 терабайт данных и готовы обнародовать их часть в течение недели. Они также заявили, что «проанализируют каждый файл на предмет интересных вещей» и опубликуют его на своем сайте утечки.

Эта тактика предназначена для усиления давления и принуждения компании-жертвы к выплате.

Источник

Пострадавшая компания – одна из крупнейших в европейском энергетическом секторе: 61 000 000 клиентов в 40 странах. По состоянию на 10 августа компания занимает 87-е место в рейтинге Fortune Global 500 с выручкой почти 90 миллиардов долларов в 2019 году.

NetWalker впервые появился в августе 2019 года. В своей первоначальной версии вымогатель носил имя Mailto, но к концу 2019 года был переименован в NetWalker.

Программа-вымогатель работает по схеме Ransomware-as-a-Service (RaaS) с закрытым доступом через портал программы-вымогателя. Банды хакеров регистрируются на данном портале и проходят процесс проверки, после чего им предоставляется доступ к веб-порталу, где они могут создавать собственные версии вымогателя.

Далее вымогатель распределяется по бандам второго уровня и каждая группа распространяет вымогатель так как она хочет.

Источник

Об этой атаке сведений пока нет, но обычно хакерские группировки используют характерные техники проникновения.

Злоумышленник вошел в систему через RDP, используя учетную запись DomainName \ Administrator, попытался запустить Cobalt Strike Beacon, а затем сбросил дамп памяти (сдампил) с помощью ProcDump и Mimikatz. Затем он подключился к контроллеру домена по протоколу RDP, используя PsExec запустил вымогатель NetWalker на всех присоединенных к домену системах.

Вначале был запущен скрипт c37.ps1. Через несколько минут был запущен c37.exe, который копирует себя во временный каталог, а затем останавливается.

Бинарный файл c37.exe включает код Neshta, poison, BazarBackdoor, XMRig и большую часть CobaltStrike.

Попытка запуска исследователями данных программ в песочнице не была успешной - , что говорит нам о том, что эти маяки включают методы обхода песочницы.

… Через несколько минут после запуска AdFind открылась командная строка, и следующие команды были либо скопированы и вставлены медленно, либо введены вручную.

Вскоре после этого сценарий с именем pcr.bat был удален и выполнен.

На все про все у хакеров ушло ровно 1 час 5 минут. Первичное проникновение произошло через использование скомпрометированной учетки RDP.

Источник

Мы привели не весь отчет, полностью он доступен по ссылке выше (на английском). Но основные дыры в безопасности очевидны.

  • Слабые пароли администратора системы, что позволило злоумышленникам войти в сеть.
  • Наличие удаленного доступа в сеть без ограничений по адресам – то есть без перечисления адресов, с которых доступен тот или иной компьютер.
  • Возможность бесконтрольного запуска программного обеспечения.
  • Отсутствие проверки поступающих файлов песочнице класса Dr.Web vxCube. Хакеры внедрили методы обхода общедоступных песочниц.

И, как мы видим, несмотря на гигантскую прибыль атакованных компаний и очевидно немалые суммы, выделявшиеся на безопасность, хакерам не пришлось применять изощренные техники взлома, подкупать или шантажировать.

#взлом #выкуп #вымогательство #защита_от_потери_данных #история #ущерб

Антивирусная правДА! рекомендует

Вирус проник в локальную сеть и заразил все клиенты а также NAS с бекапами.

Запрос в техническую поддержку «Доктор Веб»

Есть хорошая поговорка – о том, что умные учатся на чужих ошибках. Но судя по всему, пока всех до одного не взломают, стойкие пароли использоваться не будут, равно как не будет разделения сетей на отдельные подсети, а те машины, на которые осуществляется резервное копирование, будут по-прежнему доступны по сети.

А рекомендация наша очевидна: учитесь на чужих ошибках!

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей