Премии по киберстрахованию достигают новых высот

Согласно новому исследованию, после серии недавних атак печально известная программа-вымогатель BlackCat может стать еще более опасной.

В отчете Sophos говорится, что злоумышленники, стоящие за программой-вымогателем, теперь, похоже, добавили в свой арсенал инструмент Brute Ratel, что сделало его еще более опасным.

Brute Ratel — инструмент для моделирования атак и тестирования на проникновение, похожий, но менее известный, чем, например, Cobalt Strike.

Ориентируйтесь на устаревшие системы

«Что мы видели в последнее время в случае с BlackCat и другими атаками, так это то, что злоумышленники очень эффективны и действенны в своей работе. Они используют проверенные методы, такие как атаки на уязвимые брандмауэры и виртуальные частные сети, потому что они знают, что они все еще работают, но они вводят новшества, чтобы избежать средств защиты, таких как переход на новую структуру C2 после эксплуатации Brute Ratel в своих атаках», — сказал он (открывается в новая вкладка ) Кристофер Бадд, старший директор по исследованию угроз в Sophos.

Brute Ratel — не единственный используемый инструмент, поскольку анализ предыдущих инцидентов показал, что BlackCat использует другие инструменты с открытым исходным кодом и коммерчески доступные инструменты для создания дополнительных бэкдоров и использования других альтернатив удаленного доступа, таких как TeamViewer или nGrok. Очевидно, использовался и Cobalt Strike.

Операторы BlackCat обычно обращаются к устаревшим брандмауэрам (откроется в новой вкладке) и непропатченным службам VPN в качестве начальной точки входа. С декабря 2021 года им удалось успешно проникнуть как минимум в четыре организации, воспользовавшись уязвимостями межсетевого экрана.

Как только они получат доступ к сети, они будут использовать брандмауэры для извлечения учетных данных и свободного перемещения по системе.

BlackCat, похоже, не отдает предпочтение какой-либо конкретной жертве, поскольку угроза нацелена на компании в США, Европе и Азии.

Единственным предварительным условием для атаки является то, что компания работает на системах, которые достигли конца своего срока службы, не имеют многофакторной аутентификации или VPN и используют плоские сети (где каждая конечная точка имеет доступ ко всем другим терминалам в сети). сеть).

«Общим знаменателем всех этих атак является то, что их было легко осуществить. В одном случае те же злоумышленники BlackCat установили криптомайнеры за месяц до выпуска программы-вымогателя. Это последнее исследование подчеркивает, насколько важно следовать установленным передовым методам обеспечения безопасности; у них все еще есть много возможностей для предотвращения и пресечения атак, в том числе множественных атак на одну сеть. »

Поделиться