БАНДИТЕ АВТОМАТИЗИРАТ ЗАРАЗЯВАНЕТО С РАНСЪМУЕР

SystemBC, зловреден софтуер, продаван на  пазари  в тъмната мрежа, се използва от операциите ransomware-as-a-a-service (RaaS) за скриване на злонамерен трафик и автоматизиране на доставката на полезен товар на рансъмуер в мрежите на компрометирани жертви. Злонамереният софтуер, забелязан за пръв път през 2018 г. и използван в няколко кампании през 2019 г. като „виртуална частна мрежа“, позволи на бандите за рансъмуер и техните филиали да внедрят постоянен заден ход в системите на целите под формата на прокси Tor SOCKS5. Това им помогна да създадат затъмнени комуникационни канали за автоматизирано организиране и доставяне на полезен товар на рансъмуер и ексфилтрация на данни.

Използва се както от  Ryuk, така и от  Egregor

Според информация, събрана от изследователите на Sophos, докато разследвали скорошните атаки на рансъмуер Ryuk и Egregor, SystemBC е разгърната във всичките им атаки през последните месеци. „Все по-често виждаме операторите на рансъмуер да възлагат внедряването на рансъмуер на филиали, използващи закупен от тях  зловреден софтуер и инструменти за атаки“, каза изследователят по сигурността на Sophos Шон Галахър.  „SystemBC е редовна част от набора от инструменти на нападателите с рансъмуер – Sophos  откри стотици опити за внедряване на SystemBC по целия свят през последните няколко месеца.“ Ryuk внедрява SystemBC на контролера на домейни заедно чрез множество зловредни програми, включително Buer Loader, BazarLoader и Zloader, докато операторите на Egregor предпочитат да използват крадеца на информация Qbot. Атаките, разследвани от Sophos, са използвали  множество доставчици на злонамерен софтуер като услуга като стартова площадка за доставяне на първоначалните злонамерени полезни товари и, според изследователите, „те включват дни или седмици от времето в мрежите на целите и извличане на данни. „

Автоматично внедряване на полезен товар

Операторите на рансъмуер използват тази постоянна задна врата като инструмент за дистанционно администриране (RAT) заедно с инструмента за след експлоатация Cobalt Strike в етапа на флангово движение на своите атаки след получаване на достъп до мрежите на жертвите. SystemBC се използва и като специален инструмент за персистиране и изпълнение за автоматизиране на различни задачи, включително разполагането на рансъмуера на крайни точки в мрежата след извличане на откраднати данни. Атакуващите го използват и за изпълнение на команди на заразени устройства с Windows, изпратени по Tor връзка, както и за доставяне на злонамерени скриптове, библиотеки с динамични връзки (DLL) и скриптове, които се изпълняват автоматично, без да се налага ръчната намеса на операторите. Въпреки че тези възможности за автоматизация първоначално са проектирани да бъдат използвани при атаки за масова експлоатация, RaaS операциите са го доработили, за да се използва за масово разполагане в мрежата на единични жертви. Това дава възможност на операторите на рансъмуер да управляват атаки, насочени едновременно към множество жертви, „позволявайки внедряването на рансъмуер с помощта на вградени инструменти за Windows, ако нападателите получат подходящите идентификационни данни“. Въпреки че някои инструменти за защита от злонамерен софтуер на Windows откриват и блокират опитите за внедряване на SystemBC, бандите за рансъмуер все още са в състояние да ги пуснат в мрежите на своите цели, като използват законни идентификационни данни, откраднати в началните етапи на техните атаки или като се възползват от по-малко способни антивирусни решения. „Използването на множество инструменти в атаките на рансъмуер като услуга създава все по-разнообразен профил на атаки, който е по-трудно за екипите за ИТ сигурност да предскажат и да се справят с тях“, каза Галахър. „Задълбочената отбрана, образованието на служителите и използването на услугите на ловци на заплахи са от съществено значение за откриването и блокирането на подобни атаки.“

 

Източник: По материали от Интернет

Подобни публикации

8 декември 2022

Устойчиви ли са криптовалутите?

Инвестирането в криптовалути през годините донесе богатство на мноз...
6 декември 2022

Най-големият пазар на малуер за мобилни устройс...

Изследователи в областта на киберсигурността хвърлиха светлина върх...
5 декември 2022

Социалните медии повишават насилието в училище

Нов доклад, публикуван от британския мозъчен тръст Crest Advisory, ...
4 декември 2022

Google с нова актуализация на Chrome, поправя ...

  В петък гигантът в областта на търсенето в интернет Google п...
1 декември 2022

Google с обвинения към испански шпионски софтуер

Смята се, че базираният в Барселона доставчик на софтуер за наблюде...
1 декември 2022

За дигиталните активи на починалите

Напоследък много наши потребители ни питат какво се случва с пароли...
30 ноември 2022

Уязвимост на Hyundai позволява хакване на ключ...

Изследователи са открили недостатъци в редица приложения, свързани ...
28 ноември 2022

Поредна глоба за Meta

Ирландската комисия за защита на данните (DPC) наложи глоба на Meta...
28 ноември 2022

Социалните медии трябва да престанат да копират...

Интернет не е само за тийнейджъри. Когато поколението Z навлезе в м...
Бъдете социални
Още по темата
25/11/2022

Арестуваха 142 души при гло...

В резултат на координирани усилия на...
22/11/2022

Google Cloud Platform вече ...

Toвa е един от най-широко използваните...
20/11/2022

Какво представлява DDoS?

Много популярни марки – като Google,...
Последно добавени
08/12/2022

Устойчиви ли са криптовалут...

Инвестирането в криптовалути през годините донесе...
06/12/2022

Най-големият пазар на малуе...

Изследователи в областта на киберсигурността хвърлиха...
05/12/2022

Социалните медии повишават ...

Нов доклад, публикуван от британския мозъчен...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!