Злоумышленники начали использовать легитимные инструменты Windows

Злоумышленники начали использовать легитимные инструменты Windows

Исследователи обнаружили новую вредоносную кампанию, в ходе которой злоумышленники используют малоизвестные утилиты Microsoft Windows в связке с безобидными программами, что позволяет им избежать обнаружения. Цель киберпреступников — кража данных.

Вредоносную активность обнаружили эксперты компании Symantec. Преступники подошли оригинально — они используют те инструменты, которые уже установлены на атакуемых машинах.

Помимо использования легитимных инструментов и процессов, злоумышленники запускают простые скрипты и шелл-код в памяти. Это как раз позволяет им произвести так называемую бестелесную атаку.

Благодаря использованию родного для системы программного обеспечения, тем самым минимизируя внедрение сторонних программ, вторжение в систему долгое время остается незамеченным.

Одним из легитимных инструментов, которые используют злоумышленники, является утилита WMIC — Windows Management Instrumentation Command, инструментарий управления Windows. Этот инструмент используется для административных задач, запроса системных настроек, процессов управления и выполнения сценариев.

Вместе с файлами XSL этот инструмент используется как часть многоступенчатой цепочки заражения и кражи конфиденциальных данных с машин Windows.

Сама цепочка начинается с фишинга, где в электронных письмах содержится вредоносная ссылка. Если жертва перейдет по ссылке, злонамеренный файл XSL загрузится с сервера. Сам файл содержит JavaScript, который выполняется с использованием mshta.exe (легитимный процесс Windows).

В коде JavaScript содержится список из 52 доменов, которые используются для случайной генерации домена и порта для загрузки файлов HTA и трех библиотек DLL. Библиотеки впоследствии регистрируются с помощью regsvr32.exe.

Затем уже загружаются дополнительные модули, что приводит к полной компрометации компьютера пользователя.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Операторы шифровальщиков за год увеличили сумму выкупа в 14 раз

Специалисты компании Group-IB проанализировали деятельность программ-вымогателей и рассказали, какие изменения претерпел этот класс вредоносов за год. Учитывая, что шифровальщики на сегодняшний день являются одной из самых серьёзных угроз, цифры из отчёта Group-IB действительно поражают.

Аналитики изучили атаки вымогателей, взяв период с 2018 года. За это время операторы ощутимо увеличили сумму выкупа и начали использовать новый подход — кража конфиденциальных файлов.

Согласно отчёту, в 2019 году число атак шифровальщиков выросло на 40%, при этом злоумышленники стали атаковать крупные организации, что привело к увеличению суммы выкупа с $6000 до $84 000. Среди тех, кто требует самые крупные выкупы, исследователи выделили Ryuk и REvil (Sodin, Sodinokibi).

Таким образом, всего за год киберпреступники подняли суммы более чем в десять раз.

В 2020 году сумма выкупа увеличилась ещё больше. Например, исходя из данных компании Coveware, в первом квартале средний выкуп зафиксировался на отметке $111 605.

В Group-IB также подчеркнули, что операторы крупных шифровальщиков вроде Ryuk, LockerGoga, REvil, MegaCortex, Maze и Netwalker, как правило, используют банальные методы проникновения в систему жертвы — например, RDP.

Фишинг тоже часто используется в атаках на корпоративные сети, за этим методом стоят известные вредоносные программы Emotet, Trickbot (Ryuk) и QakBot (ProLock, MegaCortex). Помимо этого, преступники не брезгуют эксплуатировать уязвимости в WebLogic Server (CVE-2019-2725) и Pulse Secure VPN (CVE-2019-11510).

Ну и, конечно, нельзя не вспомнить новый принцип операторов вымогателей — угрожать сливом важных данных. Злоумышленники заходят сразу с двух сторон: требуют деньги за возврат файлов, а если есть резервная копия, угрожают опубликовать их в Сети.

Здесь в пример можно привести деятельность REvil (Sodinokibi). Сначала группировка, стоящая за этим вредоносом, угрожала опубликовать «грязное бельё» Трампа. А потом взялась за Мадонну.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru