Атаки программ-вымогателей, нацеленные на инфраструктуру VMware ESXi, осуществляются по установленной схеме, независимо от развернутого вредоносного ПО для шифрования файлов.
"Платформы виртуализации являются ключевым компонентом ИТ-инфраструктуры организации, однако они часто страдают от присущих им неправильных настроек и уязвимостей, что делает их прибыльной и высокоэффективной мишенью для злоумышленников", - говорится в отчете компании по кибербезопасности Sygnia, опубликованном в Hacker News.
Израильская компания, предпринимая усилия по реагированию на инциденты с участием различных семейств программ-вымогателей, таких как LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat и Cheerscrypt, обнаружила, что атаки на среды виртуализации осуществляются в аналогичной последовательности действий.
Это включает в себя следующие шаги -
Компания-разработчик Rapid7, занимающаяся кибербезопасностью, предупредила о продолжающейся с начала марта 2024 года кампании, в ходе которой вредоносная реклама в часто используемых поисковых системах используется для распространения троянских программ установки WinSCP и PuTTY через домены с опечаткой и, в конечном итоге, установки программ-вымогателей.
Эти поддельные установщики действуют как канал для удаления инструментария Sliver для последующей эксплуатации, который затем используется для доставки дополнительных полезных данных, включая Cobalt Strike Beacon, который используется для развертывания программ-вымогателей.
Эта активность имеет тактические совпадения с предыдущими атаками программ-вымогателей BlackCat, в которых вредоносная реклама использовалась в качестве начального средства доступа в рамках повторяющейся кампании, распространяющей вредоносное ПО Nitrogen.
"Кампания непропорционально сильно затрагивает членов ИТ-команд, которые, скорее всего, загружают троянские файлы в поисках законных версий", - сказал исследователь безопасности Тайлер Макгроу.
"Успешное выполнение вредоносного ПО затем предоставляет субъекту угрозы более надежную опору и затрудняет анализ, размывая намерения последующих административных действий".
Раскрытие также следует за появлением новых семейств программ-вымогателей, таких как Beast, MorLock, Synapse и Trinity, при этом MorLock group активно преследует российские компании и шифрует файлы без их предварительной фильтрации.
"За восстановление доступа к данным злоумышленники [MorLock] требуют значительный выкуп, размер которого может составлять десятки и сотни миллионов рублей", - говорится в сообщении российского подразделения Group-IB F.A.C.C.T.
Согласно данным, которыми поделилась NCC Group, количество глобальных атак с использованием программ-вымогателей в апреле 2024 года снизилось на 15% по сравнению с предыдущим месяцем - с 421 до 356.
Примечательно, что апрель 2024 года также знаменует конец восьмимесячному правлению LockBit в качестве источника угроз с наибольшим количеством жертв, подчеркивая его борьбу за выживание после масштабной ликвидации правоохранительных органов ранее в этом году.
"Однако при неожиданном повороте событий LockBit 3.0 не была самой заметной группой угроз за месяц, и на нее пришлось менее половины наблюдаемых атак, совершенных ими в марте", - сказали в компании. "Вместо этого Play была самой активной группой угроз, за которой вскоре последовали Охотники".
Нестабильность на рынке программ-вымогателей усугубляется тем, что киберпреступники рекламируют скрытые виртуальные сетевые вычисления (hVNC) и службы удаленного доступа, такие как Pandora и TMChecker, которые могут быть использованы для утечки данных, развертывания дополнительных вредоносных программ и облегчения атак программ-вымогателей.
"Брокеры множественного начального доступа (IAB) и операторы программ-вымогателей используют [TMChecker] для проверки доступных скомпрометированных данных на наличие действительных учетных данных для корпоративных учетных записей VPN и электронной почты", - говорится в сообщении Resecurity.
"Таким образом, одновременный рост популярности TMChecker является значительным, поскольку он существенно снижает финансовые барьеры для входа для субъектов угроз, стремящихся получить эффективный корпоративный доступ либо для первичной эксплуатации, либо для продажи другим злоумышленникам на вторичном рынке".
"Платформы виртуализации являются ключевым компонентом ИТ-инфраструктуры организации, однако они часто страдают от присущих им неправильных настроек и уязвимостей, что делает их прибыльной и высокоэффективной мишенью для злоумышленников", - говорится в отчете компании по кибербезопасности Sygnia, опубликованном в Hacker News.
Израильская компания, предпринимая усилия по реагированию на инциденты с участием различных семейств программ-вымогателей, таких как LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat и Cheerscrypt, обнаружила, что атаки на среды виртуализации осуществляются в аналогичной последовательности действий.
Это включает в себя следующие шаги -
- Получение первоначального доступа посредством фишинговых атак, загрузки вредоносных файлов и использования известных уязвимостей в активах, подключенных к Интернету.
- Повышают свои привилегии для получения учетных данных для хостов ESXi или vCenter с помощью атак методом перебора или других методов
- Проверка их доступа к инфраструктуре виртуализации и развертывание программы-вымогателя
- Удаление или шифрование систем резервного копирования или, в некоторых случаях, смена паролей усложняют усилия по восстановлению
- Передача данных во внешние хранилища, такие как Mega.io, Dropbox или их собственные службы хостинга
- Запуск программы-вымогателя для шифрования папки "/vmfs/volumes" файловой системы ESXi
- Распространение программы-вымогателя на невиртуализированные серверы и рабочие станции для расширения масштабов атаки
Компания-разработчик Rapid7, занимающаяся кибербезопасностью, предупредила о продолжающейся с начала марта 2024 года кампании, в ходе которой вредоносная реклама в часто используемых поисковых системах используется для распространения троянских программ установки WinSCP и PuTTY через домены с опечаткой и, в конечном итоге, установки программ-вымогателей.
Эти поддельные установщики действуют как канал для удаления инструментария Sliver для последующей эксплуатации, который затем используется для доставки дополнительных полезных данных, включая Cobalt Strike Beacon, который используется для развертывания программ-вымогателей.
Эта активность имеет тактические совпадения с предыдущими атаками программ-вымогателей BlackCat, в которых вредоносная реклама использовалась в качестве начального средства доступа в рамках повторяющейся кампании, распространяющей вредоносное ПО Nitrogen.
"Кампания непропорционально сильно затрагивает членов ИТ-команд, которые, скорее всего, загружают троянские файлы в поисках законных версий", - сказал исследователь безопасности Тайлер Макгроу.
"Успешное выполнение вредоносного ПО затем предоставляет субъекту угрозы более надежную опору и затрудняет анализ, размывая намерения последующих административных действий".
Раскрытие также следует за появлением новых семейств программ-вымогателей, таких как Beast, MorLock, Synapse и Trinity, при этом MorLock group активно преследует российские компании и шифрует файлы без их предварительной фильтрации.
"За восстановление доступа к данным злоумышленники [MorLock] требуют значительный выкуп, размер которого может составлять десятки и сотни миллионов рублей", - говорится в сообщении российского подразделения Group-IB F.A.C.C.T.
Согласно данным, которыми поделилась NCC Group, количество глобальных атак с использованием программ-вымогателей в апреле 2024 года снизилось на 15% по сравнению с предыдущим месяцем - с 421 до 356.
Примечательно, что апрель 2024 года также знаменует конец восьмимесячному правлению LockBit в качестве источника угроз с наибольшим количеством жертв, подчеркивая его борьбу за выживание после масштабной ликвидации правоохранительных органов ранее в этом году.
"Однако при неожиданном повороте событий LockBit 3.0 не была самой заметной группой угроз за месяц, и на нее пришлось менее половины наблюдаемых атак, совершенных ими в марте", - сказали в компании. "Вместо этого Play была самой активной группой угроз, за которой вскоре последовали Охотники".
Нестабильность на рынке программ-вымогателей усугубляется тем, что киберпреступники рекламируют скрытые виртуальные сетевые вычисления (hVNC) и службы удаленного доступа, такие как Pandora и TMChecker, которые могут быть использованы для утечки данных, развертывания дополнительных вредоносных программ и облегчения атак программ-вымогателей.
"Брокеры множественного начального доступа (IAB) и операторы программ-вымогателей используют [TMChecker] для проверки доступных скомпрометированных данных на наличие действительных учетных данных для корпоративных учетных записей VPN и электронной почты", - говорится в сообщении Resecurity.
"Таким образом, одновременный рост популярности TMChecker является значительным, поскольку он существенно снижает финансовые барьеры для входа для субъектов угроз, стремящихся получить эффективный корпоративный доступ либо для первичной эксплуатации, либо для продажи другим злоумышленникам на вторичном рынке".
