Microsoft твърди, че бандата за киберпрестъпления Scattered Spider е добавила ransomware Qilin към арсенала си и вече го използва при атаки.

„През второто тримесечие на 2024 г. финансово мотивираният извършител на киберпрестъпления, Octo Tempest, нашият най-внимателно проследяван изпълнител на атаки с  рансъмуер, добави RansomHub и Qilin към полезните товари на рансъмуера в кампаниите си“, заяви Microsoft в понеделник.

След като се появи в началото на 2022 г., тази група за заплахи (проследявана също като Octo Tempest, UNC3944 и 0ktapus) придоби известност след кампанията си 0ktapus, която беше насочена към над 130 високопоставени организации, включително Microsoft, Binance, CoinBase, T-Mobile, Verizon Wireless, AT&T, Slack, Twitter, Epic Games, Riot Games и Best Buy.

Англоговорящата банда също така е криптирала системите на MGM Resorts, след като се е присъединила към BlackCat/ALPHV ransomware като филиал в средата на 2023 г. и е била свързана от Symantec с RansomHub ransomware-as-a-service.

През ноември ФБР и CISA издадоха консултация, в която се изтъкват тактиките, техниките и процедурите (TTPs) на Scattered Spider. Те включват представянето за ИТ служители, за да измамят служителите за обслужване на клиенти да им предоставят идентификационни данни, или придобиване на устойчивост в мрежите на целите с помощта на инструменти за отдалечен достъп.

Други тактики, които са известни, че използват за първоначален достъп до мрежата, включват фишинг, бомбардиране на MFA (известно още като умора на MFA) и размяна на SIM карти.

Операцията на Qilin ransomware, към която Scattered Spider току-що се присъедини, се появява през август 2022 г. под името „Agenda“, но само един месец по-късно е ребрандирана като Qilin.

През последните две години бандата Qilin е заявила над 130 компании на своя сайт за изтичане на информация в тъмната мрежа; техните оператори обаче не са били активни, докато атаките не са се засилили към края на 2023 г.

От декември 2023 г. насам Qilin разработва и един от най-усъвършенстваните и приспособими Linux криптори за насочване към виртуални машини VMware ESXi, които корпоративните организации предпочитат за нуждите си от леки ресурси.

Подобно на много други групи за рансъмуер, насочени към бизнеса, операторите на Qilin проникват в мрежите на компанията и извличат данни, докато се движат из системите на жертвата.

След като получат администраторски пълномощия и съберат всички чувствителни данни, те разгръщат полезния товар на ransomware, за да криптират всички мрежови устройства и да използват откраднатите данни за извършване на атаки с двойно изнудване.

Миналия месец главният изпълнителен директор на Националния център за киберсигурност (NCSC) на Обединеното кралство свърза Qilin с атаката за откуп, която засегна доставчика на патологични услуги Synnovis в началото на юни и засегна няколко големи болници на NHS в Лондон, като ги принуди да отменят стотици операции и назначения, за корто многократно писахме..

 

Източник: e-security.bg

Подобни публикации

23 януари 2025

Кибератаките влизат в топ 10 на рисковете за бъ...

Според Барометъра на риска на Алианц бизнесът в България определя к...
23 януари 2025

Тръмп помилва създателя на пазара на наркотици ...

Едва на втория ден от встъпването си в длъжност президентът Тръмп п...
23 януари 2025

Тръмп отменя правилата на Байдън за развитието ...

Президентът Доналд Тръмп отмени заповедта на бившия президент Джо Б...
22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
Бъдете социални
Още по темата
22/01/2025

13 000 рутера MikroTik от ц...

Глобална мрежа от около 13 000...
21/01/2025

Злоупотреба с услугите на M...

Наблюдавани са две отделни заплахи, които...
21/01/2025

Нарушаване на сигурността н...

Базираният в Калифорния гигант в областта...
Последно добавени
23/01/2025

Кибератаките влизат в топ 1...

Според Барометъра на риска на Алианц...
23/01/2025

Тръмп помилва създателя на ...

Едва на втория ден от встъпването...
23/01/2025

Тръмп отменя правилата на Б...

Президентът Доналд Тръмп отмени заповедта на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!