Brother
Professional
- Messages
- 2,590
- Reaction score
- 480
- Points
- 83
По оценкам, по состоянию на октябрь 2023 года, угрозы, стоящие за программой-вымогателем Play, затронули примерно 300 организаций, согласно новому совместному консультативному совету Австралии и США по кибербезопасности.
"Злоумышленники-вымогатели используют модель двойного вымогательства, системы шифрования после извлечения данных и оказали влияние на широкий круг предприятий и организаций критически важной инфраструктуры в Северной Америке, Южной Америке, Европе и Австралии", - заявили власти.
Play, также называемая Balloonfly и PlayCrypt, появилась в 2022 году, используя недостатки в системе безопасности серверов Microsoft Exchange (CVE-2022-41040 и CVE-2022-41082) и устройств Fortinet (CVE-2018-13379 и CVE-2020-12812) для взлома предприятий и развертывания вредоносного ПО, шифрующего файлы.
Стоит отметить, что атаки программ-вымогателей все чаще используют уязвимости, а не фишинговые электронные письма в качестве начальных переносчиков заражения, увеличившись с почти нулевого показателя во второй половине 2022 года до почти трети в первой половине 2023 года, согласно данным Corvus.
Компания по кибербезопасности Adlumin в отчете, опубликованном в прошлом месяце, сообщила, что Play предлагается другим субъектам угрозы "как услуга", завершая ее трансформацию в программу-вымогатель как услуга (RaaS).
Организованные группой атаки программ-вымогателей характеризуются использованием общедоступных и специализированных инструментов, таких как AdFind для выполнения запросов Active Directory, GMER, IObit и PowerTool для отключения антивирусного программного обеспечения и Grixba для перечисления сетевой информации и сбора информации о программном обеспечении резервного копирования и средствах удаленного администрирования, установленных на компьютере.
Также было замечено, что участники угрозы осуществляют боковое перемещение, а также эксфильтрацию и шифрование данных, используя для последующей эксплуатации Cobalt Strike, SystemBC и Mimikatz.
"Группа программ-вымогателей Play использует модель двойного вымогательства, шифруя системы после извлечения данных", - заявили агентства. "Уведомления о выкупе не содержат первоначального требования о выкупе или инструкций по оплате, скорее, жертвам предписывается связаться с участниками угрозы по электронной почте ".
Согласно статистике, собранной Malwarebytes, сообщается, что только в ноябре 2023 года Play унесла жизни почти 40 человек, но значительно отстает от своих аналогов LockBit и BlackCat (также известных как ALPHV и Noberus).
Предупреждение поступило через несколько дней после того, как правительственные агентства США опубликовали обновленный бюллетень о группе Karakurt, которая, как известно, избегает атак на основе шифрования в пользу чистого вымогательства после получения первоначального доступа к сетям путем покупки украденных учетных данных для входа, брокеров вторжений (также известных как брокеры начального доступа), фишинга и известных недостатков безопасности.
"Жертвы Karakurt не сообщали о шифровании скомпрометированных компьютеров или файлов; скорее, актеры Karakurt заявили о краже данных и пригрозили продать их с аукциона или обнародовать, если они не получат требуемый выкуп", - сказало правительство.
События также происходят на фоне спекуляций о том, что программа-вымогатель BlackCat, возможно, стала целью операции правоохранительных органов после того, как ее порталы для утечки данных в темной Сети отключились на пять дней. Однако e-crime collective объяснила отключение сбоем оборудования.
Более того, утверждается, что еще одна зарождающаяся группа вымогателей, известная как NoEscape, провернула мошенничество с выходом, фактически "похитив выплаты выкупа и закрыв веб-панели группы и сайты утечки данных", что побудило другие банды, такие как LockBit, вербовать своих бывших партнеров.
Неудивительно, что ландшафт программ-вымогателей постоянно развивается и меняется, будь то из-за внешнего давления со стороны правоохранительных органов. Об этом также свидетельствует сотрудничество банд вымогателей BianLian, White Rabbit и Mario в совместной кампании по вымогательству, направленной против публичных компаний, оказывающих финансовые услуги.
"Подобные совместные кампании по вымогательству встречаются редко, но, возможно, становятся все более распространенными из-за участия брокеров первоначального доступа (IAB), сотрудничающих с несколькими группами в темной Сети", - говорится в отчете Resecurity, опубликованном на прошлой неделе.
"Еще одним фактором, который может привести к расширению сотрудничества, являются вмешательства правоохранительных органов, которые создают сети диаспор киберпреступников. Перемещенные участники этих сетей, создающих угрозы, могут быть более склонны сотрудничать с конкурентами".
"Злоумышленники-вымогатели используют модель двойного вымогательства, системы шифрования после извлечения данных и оказали влияние на широкий круг предприятий и организаций критически важной инфраструктуры в Северной Америке, Южной Америке, Европе и Австралии", - заявили власти.
Play, также называемая Balloonfly и PlayCrypt, появилась в 2022 году, используя недостатки в системе безопасности серверов Microsoft Exchange (CVE-2022-41040 и CVE-2022-41082) и устройств Fortinet (CVE-2018-13379 и CVE-2020-12812) для взлома предприятий и развертывания вредоносного ПО, шифрующего файлы.
Стоит отметить, что атаки программ-вымогателей все чаще используют уязвимости, а не фишинговые электронные письма в качестве начальных переносчиков заражения, увеличившись с почти нулевого показателя во второй половине 2022 года до почти трети в первой половине 2023 года, согласно данным Corvus.
Компания по кибербезопасности Adlumin в отчете, опубликованном в прошлом месяце, сообщила, что Play предлагается другим субъектам угрозы "как услуга", завершая ее трансформацию в программу-вымогатель как услуга (RaaS).
Организованные группой атаки программ-вымогателей характеризуются использованием общедоступных и специализированных инструментов, таких как AdFind для выполнения запросов Active Directory, GMER, IObit и PowerTool для отключения антивирусного программного обеспечения и Grixba для перечисления сетевой информации и сбора информации о программном обеспечении резервного копирования и средствах удаленного администрирования, установленных на компьютере.
Также было замечено, что участники угрозы осуществляют боковое перемещение, а также эксфильтрацию и шифрование данных, используя для последующей эксплуатации Cobalt Strike, SystemBC и Mimikatz.
"Группа программ-вымогателей Play использует модель двойного вымогательства, шифруя системы после извлечения данных", - заявили агентства. "Уведомления о выкупе не содержат первоначального требования о выкупе или инструкций по оплате, скорее, жертвам предписывается связаться с участниками угрозы по электронной почте ".
Согласно статистике, собранной Malwarebytes, сообщается, что только в ноябре 2023 года Play унесла жизни почти 40 человек, но значительно отстает от своих аналогов LockBit и BlackCat (также известных как ALPHV и Noberus).
Предупреждение поступило через несколько дней после того, как правительственные агентства США опубликовали обновленный бюллетень о группе Karakurt, которая, как известно, избегает атак на основе шифрования в пользу чистого вымогательства после получения первоначального доступа к сетям путем покупки украденных учетных данных для входа, брокеров вторжений (также известных как брокеры начального доступа), фишинга и известных недостатков безопасности.
"Жертвы Karakurt не сообщали о шифровании скомпрометированных компьютеров или файлов; скорее, актеры Karakurt заявили о краже данных и пригрозили продать их с аукциона или обнародовать, если они не получат требуемый выкуп", - сказало правительство.
События также происходят на фоне спекуляций о том, что программа-вымогатель BlackCat, возможно, стала целью операции правоохранительных органов после того, как ее порталы для утечки данных в темной Сети отключились на пять дней. Однако e-crime collective объяснила отключение сбоем оборудования.
Более того, утверждается, что еще одна зарождающаяся группа вымогателей, известная как NoEscape, провернула мошенничество с выходом, фактически "похитив выплаты выкупа и закрыв веб-панели группы и сайты утечки данных", что побудило другие банды, такие как LockBit, вербовать своих бывших партнеров.
Неудивительно, что ландшафт программ-вымогателей постоянно развивается и меняется, будь то из-за внешнего давления со стороны правоохранительных органов. Об этом также свидетельствует сотрудничество банд вымогателей BianLian, White Rabbit и Mario в совместной кампании по вымогательству, направленной против публичных компаний, оказывающих финансовые услуги.
"Подобные совместные кампании по вымогательству встречаются редко, но, возможно, становятся все более распространенными из-за участия брокеров первоначального доступа (IAB), сотрудничающих с несколькими группами в темной Сети", - говорится в отчете Resecurity, опубликованном на прошлой неделе.
"Еще одним фактором, который может привести к расширению сотрудничества, являются вмешательства правоохранительных органов, которые создают сети диаспор киберпреступников. Перемещенные участники этих сетей, создающих угрозы, могут быть более склонны сотрудничать с конкурентами".
