Вымогательская группа Muliaka атаковала российские компании - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Вымогательская группа Muliaka атаковала российские компании - «Новости»

Аналитики компании FACCT обнаружили новую вымогательскую группировку Muliaka, которая атакует российские компании как минимум с декабря 2023 года. Исследователи рассказали, что в одной из атак для распространения и запуска малвари в сети жертвы атакующие воспользовались популярным корпоративным антивирусом.


Все началось с того, что в январе 2024 года неназванная российская компания была атакована вымогателями. В результате Windows-системы и виртуальная инфраструктура VMware ESXi жертвы оказались зашифрованы. От момента получения доступа к ИТ-инфраструктуре жертвы до начала шифрования прошло около двух недель.


В ходе расследования специалисты выяснили, что для удаленного доступа к инфраструктуре атакующие использовали VPN-сервис компании (но через него ли осуществлялся начальный доступ, на данный момент не установлено), а для перемещения по сети — службу удаленного управления WinRM (Windows Remote Management), использующую стандартный протокол веб-служб управления WS-Man.


Для распространения и запуска малвари на Windows-хостах компании, атакующие воспользовались установленным корпоративным антивирусом, название которого не раскрывается. Для удаленного запуска шифровальщика злоумышленники создали инсталляционный пакет и соответствующую задачу. Отмечается, что при наличии установленного антивируса в ИТ-инфраструктуре жертвы хакеры все чаще предпочитают использовать защитные продукты для скрытного и эффективного продвижения по сети.





Перед шифрованием злоумышленники запускали на хостах вспомогательный PowerShell-скрипт (Update.ps1), предназначенный для остановки и запрета служб баз данных и резервного копирования, удаления точек восстановления и теневых копий томов. Также он отключает сетевые адаптеры на хосте, и тем самым, изолирует хост от сети. Исследователи напоминают, что похожую технику ранее использовала группировка OldGremlin.


Также внимание экспертов привлекли шифровальщики Muliaka. Например, шифровальщик для Windows был разработан основе ранее утекших в открытый доступ исходных кодов вымогателя Conti 3. В отличие от оригинального Conti, перед процессом шифрования файлов он осуществляет завершение процессов и остановку системных служб, указанных в списках.


Шифрование файлов в этом случае осуществляется в два этапа: при первом проходе максимально быстро блокируются данные жертвы, а при втором — максимально усложняется возможность их расшифровки и восстановления без оплаты выкупа.


На первом этапе используется многопоточное шифрование файлов на всех логических дисках хостах: в файлах менее 5 МБ шифруется начальная часть, а файлы более 5 МБ шифруются блоками. Отмечается, что сама идея шифрования в несколько проходов не нова, и одними из первых в этом вопросе стали авторы вымогателя PLAY, в настоящее время и вымогатели Qilin используют шифрование даже в три прохода.


Образец малвари для ESXi на хостах жертвы обнаружить не удалось, так как он был удален атакующими. Однако полученной информации было достаточно, чтобы обнаружить другие образцы вымогателей для Windows и ESXi. По словам исследователей, два месяца назад образец малвари для ESXi был загружен на VirusTotal, и он до сих пор не детектируется ни одним антивирусным вендором. Отмечается, что практически все найденные образцы были загружены на портал VirusTotal с территории Украины.





«Специалисты FACCT подключились к расследованию атаки группы Muliaka уже на этапе восстановления сотрудниками компании своей ИТ-инфраструктуры.  Атакующие использовали VPN жертвы, но являлся ли он начальным доступом, на данный момент точно не установлено. Нельзя исключать использование в качестве начального вектора атаки уязвимостей в публичных приложениях или фишинг, — рассказывает Антон Величко, руководитель Лаборатории компьютерной криминалистики компании FACCT  — По нашим данным, группа активна как минимум с декабря 2023 года, и ее жертвами являются исключительно российские компании. Действия атакующих можно характеризовать как достаточно квалифицированные, после себя они оставляют минимальное количество следов».


Аналитики компании FACCT обнаружили новую вымогательскую группировку Muliaka, которая атакует российские компании как минимум с декабря 2023 года. Исследователи рассказали, что в одной из атак для распространения и запуска малвари в сети жертвы атакующие воспользовались популярным корпоративным антивирусом. Все началось с того, что в январе 2024 года неназванная российская компания была атакована вымогателями. В результате Windows-системы и виртуальная инфраструктура VMware ESXi жертвы оказались зашифрованы. От момента получения доступа к ИТ-инфраструктуре жертвы до начала шифрования прошло около двух недель. В ходе расследования специалисты выяснили, что для удаленного доступа к инфраструктуре атакующие использовали VPN-сервис компании (но через него ли осуществлялся начальный доступ, на данный момент не установлено), а для перемещения по сети — службу удаленного управления WinRM (Windows Remote Management), использующую стандартный протокол веб-служб управления WS-Man. Для распространения и запуска малвари на Windows-хостах компании, атакующие воспользовались установленным корпоративным антивирусом, название которого не раскрывается. Для удаленного запуска шифровальщика злоумышленники создали инсталляционный пакет и соответствующую задачу. Отмечается, что при наличии установленного антивируса в ИТ-инфраструктуре жертвы хакеры все чаще предпочитают использовать защитные продукты для скрытного и эффективного продвижения по сети. Перед шифрованием злоумышленники запускали на хостах вспомогательный PowerShell-скрипт (Update.ps1), предназначенный для остановки и запрета служб баз данных и резервного копирования, удаления точек восстановления и теневых копий томов. Также он отключает сетевые адаптеры на хосте, и тем самым, изолирует хост от сети. Исследователи напоминают, что похожую технику ранее использовала группировка OldGremlin. Также внимание экспертов привлекли шифровальщики Muliaka. Например, шифровальщик для Windows был разработан основе ранее утекших в открытый доступ исходных кодов вымогателя Conti 3. В отличие от оригинального Conti, перед процессом шифрования файлов он осуществляет завершение процессов и остановку системных служб, указанных в списках. Шифрование файлов в этом случае осуществляется в два этапа: при первом проходе максимально быстро блокируются данные жертвы, а при втором — максимально усложняется возможность их расшифровки и восстановления без оплаты выкупа. На первом этапе используется многопоточное шифрование файлов на всех логических дисках хостах: в файлах менее 5 МБ шифруется начальная часть, а файлы более 5 МБ шифруются блоками. Отмечается, что сама идея шифрования в несколько проходов не нова, и одними из первых в этом вопросе стали авторы вымогателя PLAY, в настоящее время и вымогатели Qilin используют шифрование даже в три прохода. Образец малвари для ESXi на хостах жертвы обнаружить не удалось, так как он был удален атакующими. Однако полученной информации было достаточно, чтобы обнаружить другие образцы вымогателей для Windows и ESXi. По словам исследователей, два месяца назад образец малвари для ESXi был загружен на VirusTotal, и он до сих пор не детектируется ни одним антивирусным вендором. Отмечается, что практически все найденные образцы были загружены на портал VirusTotal с территории Украины. «Специалисты FACCT подключились к расследованию атаки группы Muliaka уже на этапе восстановления сотрудниками компании своей ИТ-инфраструктуры. Атакующие использовали VPN жертвы, но являлся ли он начальным доступом, на данный момент точно не установлено. Нельзя исключать использование в качестве начального вектора атаки уязвимостей в публичных приложениях или фишинг, — рассказывает Антон Величко, руководитель Лаборатории компьютерной криминалистики компании FACCT — По нашим данным, группа активна как минимум с декабря 2023 года, и ее жертвами являются исключительно российские компании. Действия атакующих можно характеризовать как достаточно квалифицированные, после себя они оставляют минимальное количество следов».
CSS
запостил(а)
Forster
Вернуться назад

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: