БАНДИТЕ АВТОМАТИЗИРАТ ЗАРАЗЯВАНЕТО С РАНСЪМУЕР

SystemBC, зловреден софтуер, продаван на  пазари  в тъмната мрежа, се използва от операциите ransomware-as-a-a-service (RaaS) за скриване на злонамерен трафик и автоматизиране на доставката на полезен товар на рансъмуер в мрежите на компрометирани жертви. Злонамереният софтуер, забелязан за пръв път през 2018 г. и използван в няколко кампании през 2019 г. като „виртуална частна мрежа“, позволи на бандите за рансъмуер и техните филиали да внедрят постоянен заден ход в системите на целите под формата на прокси Tor SOCKS5. Това им помогна да създадат затъмнени комуникационни канали за автоматизирано организиране и доставяне на полезен товар на рансъмуер и ексфилтрация на данни.

Използва се както от  Ryuk, така и от  Egregor

Според информация, събрана от изследователите на Sophos, докато разследвали скорошните атаки на рансъмуер Ryuk и Egregor, SystemBC е разгърната във всичките им атаки през последните месеци. „Все по-често виждаме операторите на рансъмуер да възлагат внедряването на рансъмуер на филиали, използващи закупен от тях  зловреден софтуер и инструменти за атаки“, каза изследователят по сигурността на Sophos Шон Галахър.  „SystemBC е редовна част от набора от инструменти на нападателите с рансъмуер – Sophos  откри стотици опити за внедряване на SystemBC по целия свят през последните няколко месеца.“ Ryuk внедрява SystemBC на контролера на домейни заедно чрез множество зловредни програми, включително Buer Loader, BazarLoader и Zloader, докато операторите на Egregor предпочитат да използват крадеца на информация Qbot. Атаките, разследвани от Sophos, са използвали  множество доставчици на злонамерен софтуер като услуга като стартова площадка за доставяне на първоначалните злонамерени полезни товари и, според изследователите, „те включват дни или седмици от времето в мрежите на целите и извличане на данни. „

Автоматично внедряване на полезен товар

Операторите на рансъмуер използват тази постоянна задна врата като инструмент за дистанционно администриране (RAT) заедно с инструмента за след експлоатация Cobalt Strike в етапа на флангово движение на своите атаки след получаване на достъп до мрежите на жертвите. SystemBC се използва и като специален инструмент за персистиране и изпълнение за автоматизиране на различни задачи, включително разполагането на рансъмуера на крайни точки в мрежата след извличане на откраднати данни. Атакуващите го използват и за изпълнение на команди на заразени устройства с Windows, изпратени по Tor връзка, както и за доставяне на злонамерени скриптове, библиотеки с динамични връзки (DLL) и скриптове, които се изпълняват автоматично, без да се налага ръчната намеса на операторите. Въпреки че тези възможности за автоматизация първоначално са проектирани да бъдат използвани при атаки за масова експлоатация, RaaS операциите са го доработили, за да се използва за масово разполагане в мрежата на единични жертви. Това дава възможност на операторите на рансъмуер да управляват атаки, насочени едновременно към множество жертви, „позволявайки внедряването на рансъмуер с помощта на вградени инструменти за Windows, ако нападателите получат подходящите идентификационни данни“. Въпреки че някои инструменти за защита от злонамерен софтуер на Windows откриват и блокират опитите за внедряване на SystemBC, бандите за рансъмуер все още са в състояние да ги пуснат в мрежите на своите цели, като използват законни идентификационни данни, откраднати в началните етапи на техните атаки или като се възползват от по-малко способни антивирусни решения. „Използването на множество инструменти в атаките на рансъмуер като услуга създава все по-разнообразен профил на атаки, който е по-трудно за екипите за ИТ сигурност да предскажат и да се справят с тях“, каза Галахър. „Задълбочената отбрана, образованието на служителите и използването на услугите на ловци на заплахи са от съществено значение за откриването и блокирането на подобни атаки.“

 

Източник: По материали от Интернет

Подобни публикации

26 септември 2023

WatchGuard получи най-високото признание

WatchGuard е обявена за лидер в последния доклад на G2 Grid и е отл...
26 септември 2023

WatchGuard с награда за отлични постижения в об...

Имаме удоволствието да споделим, че WatchGuard е обявена за победит...
26 септември 2023

Рансъмуерът Akira мутира и се насочва към систе...

Откакто се появи като заплаха през март, рансъмуерът Arika продължи...
26 септември 2023

Разликите между локалната и облачната киберсигу...

Разликата между управлението на киберсигурността в локални и облачн...
26 септември 2023

Нов вариант на BBTok е насочен към над 40 банк...

Активна кампания за зловреден софтуер, насочена към Латинска Америк...
25 септември 2023

Правилата за API на TikTok затрудняват анализа ...

Според учени новите условия за достъп на изследователите до API на ...
25 септември 2023

Акаунтът на Буретин в X беше хакнат

Хакери компрометират акаунта на Виталик Буретин в X, като открадват...
Бъдете социални
Още по темата
26/09/2023

Рансъмуерът Akira мутира и ...

Откакто се появи като заплаха през...
24/09/2023

Deadglyph: нова усъвършенст...

Изследователи в областта на киберсигурността са...
23/09/2023

Нарушението на данните на Н...

Американската образователна организация с нестопанска цел...
Последно добавени
26/09/2023

WatchGuard получи най-висок...

WatchGuard е обявена за лидер в...
26/09/2023

WatchGuard с награда за отл...

Имаме удоволствието да споделим, че WatchGuard...
26/09/2023

Рансъмуерът Akira мутира и ...

Откакто се появи като заплаха през...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!