Злоумышленник атакует различные организации, используя сервер управления и контроля (C&C), на котором размещены образцы программ-вымогателей, вредоносных программ для торговых точек (POS) и других цифровых угроз.
Исследователи из Cisco Talos обнаружили, что на сервере был размещен по крайней мере один образец вредоносного ПО для карт TinyPOS, простой загрузчик и Mimikatz. Они также обнаружили другие инструменты, которые злоумышленники могут использовать для удаленного подключения к системам Windows и дампа процессов. При этом большинство файлов вредоносных программ, размещенных на сервере, оказались образцами DoppelPaymer, семейства программ-вымогателей, которые произошли от BitPaymer.
В ходе анализа сервера Cisco Talos выявила две недавние цели злоумышленника. Первой была компания по производству алюминиевых и стальных решеток из США, которую злоумышленник атаковал с помощью программы-вымогателя. Исследователи использовали дамп процесса, чтобы идентифицировать вторую цель, хотя они не предоставили никаких подробностей об организации жертвы.
Растущие попытки злоумышленников диверсифицировать
Сервер, идентифицированный Cisco Talos, создает более широкую тенденцию, в которой злоумышленники диверсифицируют свои вредоносные действия. В своем «Оценка киберугроз за 2021 год» Optiv обнаружил доказательства того, что злоумышленники начали одни атаки для личной выгоды, а другие - от имени правительства. ''Лаборатория Касперского'' нашла поддержку такой диверсификации в сводке тенденций продвинутых постоянных угроз (APT) за третий квартал 2020 года, когда она зафиксировала рост использования и количества вредоносных наборов инструментов, используемых цифровыми преступниками для своих атак.
Защита от вредоносных программ и программ-вымогателей
Специалисты по безопасности могут помочь защититься от вредоносных программ, программ-вымогателей и других угроз, обычно размещаемых на управляющих серверах злоумышленников, путем ведения журналов, просмотра журналов на предмет подозрительных действий, использования информации о безопасности и сигнатур управления событиями (SIEM) и выполнения сканирования конечных точек.
Компании также должны использовать инструменты сканирования почты и решения для защиты периметра в рамках многоуровневой стратегии безопасности электронной почты для защиты от угроз, исходящих от электронной почты.
Исследователи из Cisco Talos обнаружили, что на сервере был размещен по крайней мере один образец вредоносного ПО для карт TinyPOS, простой загрузчик и Mimikatz. Они также обнаружили другие инструменты, которые злоумышленники могут использовать для удаленного подключения к системам Windows и дампа процессов. При этом большинство файлов вредоносных программ, размещенных на сервере, оказались образцами DoppelPaymer, семейства программ-вымогателей, которые произошли от BitPaymer.
В ходе анализа сервера Cisco Talos выявила две недавние цели злоумышленника. Первой была компания по производству алюминиевых и стальных решеток из США, которую злоумышленник атаковал с помощью программы-вымогателя. Исследователи использовали дамп процесса, чтобы идентифицировать вторую цель, хотя они не предоставили никаких подробностей об организации жертвы.
Растущие попытки злоумышленников диверсифицировать
Сервер, идентифицированный Cisco Talos, создает более широкую тенденцию, в которой злоумышленники диверсифицируют свои вредоносные действия. В своем «Оценка киберугроз за 2021 год» Optiv обнаружил доказательства того, что злоумышленники начали одни атаки для личной выгоды, а другие - от имени правительства. ''Лаборатория Касперского'' нашла поддержку такой диверсификации в сводке тенденций продвинутых постоянных угроз (APT) за третий квартал 2020 года, когда она зафиксировала рост использования и количества вредоносных наборов инструментов, используемых цифровыми преступниками для своих атак.
Защита от вредоносных программ и программ-вымогателей
Специалисты по безопасности могут помочь защититься от вредоносных программ, программ-вымогателей и других угроз, обычно размещаемых на управляющих серверах злоумышленников, путем ведения журналов, просмотра журналов на предмет подозрительных действий, использования информации о безопасности и сигнатур управления событиями (SIEM) и выполнения сканирования конечных точек.
Компании также должны использовать инструменты сканирования почты и решения для защиты периметра в рамках многоуровневой стратегии безопасности электронной почты для защиты от угроз, исходящих от электронной почты.