Кіберзлочинці Lazarus вирішили підзаробити на вимаганні

Кіберзлочинці Lazarus вирішили підзаробити на вимаганні

 Північнокорейське кіберзлочинне угруповання Lazarus активно використовує створене ним здирницьке ПЗ VHD для атак на підприємства. Як повідомляють фахівці «Лабораторії Касперського», зразки VHD були вперше виявлені в березні-травні 2020 року в ході розслідування двох інцидентів безпеки.

  Згідно зі звітом ЛК, в першому випадку вимагач був впроваджений в корпоративні мережі за допомогою розповсюджуваного по протоколу SMB інструменту для брутфорс-атак, а в другому — за допомогою шкідливого фреймворка MATA, також відомого як Dacls.

   З точки зору функціоналу VHD є стандартне здирницьке ПЗ. Програма поширюється на  жорстких дисках, підключених до атакованого комп'ютера, шифрує файли і видаляє всі папки System Volume Information, тим самим позбавляючи жертву можливості відновити Windows. Більш того, VHD може «заморожувати» процеси, потенційно здатні захистити важливі файли від модифікування (наприклад, Microsoft Exchange або SQL Server).

  Як встановили дослідники, атака починається з експлуатації вразливостей в VPN-шлюзах. Проникнувши в мережу що атакується, зловмисники підвищують свої привілеї на скомпрометуваному пристрої і встановлюють бекдор, який є частиною шкідливого фреймворка MATA. Цей бекдор надає атакуючим контроль над сервером Active Directory, що дозволяє їм доставляти корисне навантаження VHD на всі системи всередині мережі за допомогою Python-завантажувача.

   «Ми знаємо, що Lazarus завжди переслідує фінансову вигоду, проте після WannaCry ми більше не бачили, щоб вона займалася здирницьким ПЗ. Хоча очевидно, що угрупованню далеко до інших кіберзлочинних угруповань, які використовують в здирницьких атаках принцип «бий і біжи», той факт, що вона звернулася до таких типів атак, викликає занепокоєння », — зазначають автори звіту.

19:31
RSS
Немає коментарів. Ваш буде першим!
Завантаження...
|