Субъекты угроз используют слабо защищенные серверы Microsoft SQL (MS SQL) для доставки Cobalt Strike и вируса-вымогателя FreeWorld.
Фирма по кибербезопасности Securonix, которая окрестила кампанию DB # JAMMER, заявила, что она выделяется способом использования набора инструментов и инфраструктуры.
"Некоторые из этих инструментов включают программное обеспечение для перечисления, RAT-программы, программное обеспечение для эксплуатации и кражи учетных данных и, наконец, программы-вымогатели", - сказали исследователи безопасности Ден Юзвик, Тим Пек и Олег Колесников в техническом описании деятельности.
"Предпочтительной полезной нагрузкой программы-вымогателя, по-видимому, является более новый вариант имитирующей программы-вымогателя под названием FreeWorld".
Первоначальный доступ к хосту-жертве достигается путем принудительного запуска MS SQL server, использования его для перечисления базы данных и использования опции конфигурации xp_cmdshell для запуска команд командной строки и проведения разведки.
Следующий этап включает в себя принятие мер по повреждению системного брандмауэра и обеспечению сохраняемости путем подключения к удаленному общему ресурсу SMB для передачи файлов в систему жертвы и из нее, а также установки вредоносных программ, таких как Cobalt Strike.
Это, в свою очередь, прокладывает путь для распространения программного обеспечения AnyDesk, которое в конечном итоге приведет к распространению программы-вымогателя FreeWorld, но не раньше, чем будет выполнен шаг бокового перемещения. Также сообщается, что неизвестные злоумышленники безуспешно пытались установить сохраняемость RDP через Ngrok.
"Первоначально атака была успешной в результате атаки методом грубой силы на сервер MS SQL", - сказали исследователи. "Важно подчеркнуть важность надежных паролей, особенно в общедоступных сервисах".
Раскрытие происходит после того, как операторы программы-вымогателя Rhysida заявили о 41 жертве, причем более половины из них находятся в Европе.
Rhysida - одна из зарождающихся разновидностей программ-вымогателей, появившаяся в мае 2023 года, использующая все более популярную тактику шифрования и извлечения конфиденциальных данных из организаций и угрожающую утечкой информации, если жертвы откажутся платить.
Это также следует за выпуском бесплатного дешифратора для программы-вымогателя под названием Key Group из-за многочисленных криптографических ошибок в программе. Однако скрипт Python работает только с образцами, скомпилированными после 3 августа 2023 года.
"Программа-вымогатель Key Group использует статический ключ в кодировке base64 N0dQM0I1JCM= для шифрования данных жертв", - сообщила в отчете, опубликованном в четверг, голландская компания по кибербезопасности EclecticIQ.
"Субъект угрозы пытался увеличить случайность зашифрованных данных, используя криптографический метод, называемый salting. Соль была статической и использовалась для каждого процесса шифрования, что создает существенный недостаток в процедуре шифрования".
В 2023 году после затишья в 2022 году произошел рекордный всплеск атак программ-вымогателей, несмотря на то, что процент инцидентов, в результате которых жертва платила, упал до рекордно низкого уровня в 34%, согласно статистике, опубликованной Coveware в июле 2023 года.
С другой стороны, средняя сумма выплаченного выкупа достигла 740 144 долларов, что на 126% больше, чем в 1 квартале 2023 года.
Колебания темпов монетизации сопровождались тем, что злоумышленники-вымогатели продолжали совершенствовать свои методы вымогательства, в том числе делились подробностями о методах атаки, чтобы показать, почему их жертвы не имеют права на выплату по киберстрахованию.
"Snatch заявляет, что они опубликуют подробности того, как атаки на жертв-неплательщиков увенчались успехом, в надежде, что страховщики решат, что инциденты не должны покрываться страховой программой-вымогателем", - сказал исследователь безопасности Emsisoft Бретт Кэллоу в сообщении, опубликованном на X (бывший Twitter) в прошлом месяце.
