Sophos X-Ops представляє останні результати аналізу загроз. Група програм-вимагачів BlackCat використовує інструмент пентестування Brute Ratel як новий інструмент атаки. Серіал Attack показує, як кіберзлочинці заражають комп’ютери по всьому світу через невиправлені брандмауери та служби VPN.
Sophos X-Ops повідомляє в новому звіті BlackCat Ransomware Attacks Not Merely a Backproduct of Bad Luck, що банда програм-вимагачів додала інструмент пентестування Brute Ratel до свого арсеналу засобів атак. У статті описується серія атак програм-вимагачів, під час яких BlackCat використовував невиправлені або застарілі брандмауери та служби VPN для проникнення в уразливі мережі та системи в різних галузях промисловості по всьому світу.
BlackCat із програмою-вимагачем як послугою
Програма-вимагач BlackCat вперше з’явилася в листопаді 2021 року як самопроголошений «лідер» у сфері програм-вимагачів як послуга та швидко привернула увагу своєю незвичайною мовою програмування Rust. Ще в грудні 2021 року постраждалі компанії зв’язалися з Sophos Rapid Response, щоб розслідувати принаймні п’ять атак із BlackCat. Чотири з цих інцидентів були спочатку заражені через використання вразливостей у продуктах від різних постачальників брандмауерів. Одна з цих уразливостей датується 2018 роком, іншу виявили минулого року. Потрапивши в мережу, кіберзлочинці змогли отримати облікові дані VPN, що зберігаються на цих брандмауерах. Це дозволило їм увійти як авторизовані користувачі, а потім пройти через системи за допомогою протоколу віддаленого робочого столу (RDP).
Як і в попередніх інцидентах BlackCat, зловмисники також використовували інструменти з відкритим кодом і комерційно доступні інструменти для створення додаткових бекдорів і альтернативних способів віддаленого доступу до цільових систем. Серед них TeamViewer, nGrok, Cobalt Strike і Brute Ratel.
Фреймворк C2 після експлуатації Brute Ratel
«Під час останніх атак BlackCat та інших ми бачили, як загрозливі особи працюють дуже ефективно та результативно. Вони використовують найкращі практики, такі як атаки на вразливі брандмауери та VPN. Але вони також були дуже інноваційними в ухиленні від заходів безпеки та переключили свої атаки на новішу структуру C2 Brute Ratel після експлуатації», — пояснює Крістофер Бадд, старший менеджер із дослідження загроз у Sophos.
Напади без чіткої картини
Однак чіткої закономірності в атаках не спостерігалося. Вони проходили в США, Європі та Азії у великих компаніях, що працюють у різних сегментах промисловості. Проте атаковані компанії мали певні вразливості у своєму середовищі, що полегшувало роботу зловмисників. Це включало застарілі системи, які більше не можна було оновити останніми виправленнями безпеки, відсутність багатофакторної автентифікації для VPN і плоских мереж (мережа однорангових вузлів)
«Спільним знаменником усіх цих атак є те, що їх було легко здійснити», — сказав Бадд. «В одному випадку ті самі зловмисники BlackCat встановили криптомайнери за місяць до запуску програми-вимагача. Наше нещодавнє дослідження підкреслює важливість дотримання найкращих практик безпеки. Ви все ще можете запобігати та перешкоджати атакам, навіть численним атакам на одну мережу».
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.