Щамът на ransomware, известен като Play, вече се предлага на други заплахи „като услуга“, разкриват нови доказателства, открити от Adlumin.
„Необичайната липса дори на малки разлики между атаките предполага, че те се извършват от партньори, които са закупили рансъмуер като услуга (RaaS) и следват стъпка по стъпка инструкциите от наръчниците за Play, доставени заедно с него“, заяви компанията за киберсигурност в доклад, споделен с The Hacker News.
Констатациите се основават на различни атаки с рансъмуер от типа Play, проследени от Adlumin и обхващащи различни сектори, които включват почти идентични тактики и в една и съща последователност.
Това включва използването на обществената музикална папка (C:\…\public\music) за скриване на зловредния файл, една и съща парола за създаване на акаунти с високи права и при двете атаки, както и едни и същи команди.
Play, наричан също Balloonfly и PlayCrypt, за първи път излезе на бял свят през юни 2022 г., като използваше пропуски в сигурността на Microsoft Exchange Server – т.е. ProxyNotShell и OWASSRF – за проникване в мрежи и пускане на инструменти за отдалечено администриране като AnyDesk и в крайна сметка разгръщане на рансъмуер.
Освен използването на персонализирани инструменти за събиране на данни като Grixba за двойно изнудване, забележителен аспект, който отличава Play от други групи за рансъмуер, е фактът, че операторите, отговорни за разработването на зловредния софтуер, също така извършват атаките.
Следователно новата разработка бележи промяна и завършва превръщането ѝ в RaaS операция, което я превръща в доходоносен вариант за киберпрестъпниците.
„Когато операторите на RaaS рекламират комплекти за откуп, които идват с всичко, от което ще се нуждае един хакер, включително документация, форуми, техническа поддръжка и подкрепа за договаряне на откуп, скриптъри – хлапета ще се изкушат да опитат късмета си и да използват уменията си“, казва Adlumin .
„И тъй като днес вероятно има повече script kiddies, отколкото „истински хакери“, предприятията и властите трябва да обърнат внимание и да се подготвят за нарастваща вълна от инциденти.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.