- 9,321
- 18
- 8 Ноя 2022
Поддельная реклама стала новым вектором атаки для известной вымогательской группировки.
Киберпреступные объединения, действующие в рамках вымогательской операции BlackCat (ALPHV), перешли на новую тактику — использование вредоносной рекламы для получения первоначального доступа к системам жертв.
Под видом популярного бизнес-софта, такого как корпоративный мессенджер Slack или VPN -клиент AnyConnect от Cisco , злоумышленники распространяют вредоносную программу Nitrogen, которая служит для установления первоначального контроля над системой и последующего запуска вымогательского ПО.
Для просмотра ссылки Войдиили Зарегистрируйся команда реагирования на угрозы eSentire , её клиенты неоднократно подвергались атакам аффилированных групп ALPHV/BlackCat. Кампания с использованием Nitrogen была впервые зафиксирована в июне, однако применение вредоносной рекламы для её распространения — новая тактика.
«Nitrogen — это ПО для первоначального проникновения, использующее библиотеки Python для скрытности», — поясняет Киган Кеплингер, старший исследователь угроз в eSentire. «Этот плацдарм обеспечивает злоумышленникам первоначальный вход в IT-среду целевой организации».
Как только хакеры закрепляются в сети атакуемой компании, они могут заразить её любым вредоносным ПО по своему выбору. В рамках рассмотренной операции этим ПО была программа-вымогатель ALPHV/BlackCat.
Использование популярных Python-библиотек помогает скрыть следы вторжения в обычном трафике. В то время как дополнительные методы обфускации ещё больше затрудняют обнаружение атаки.
Группа BlackCat известна в киберпреступном сообществе практически полным отсутствием чести и моральных принципов. Так, вымогательское ПО банды не раз использовалось в атаках на медицинские учреждения, что считается неприемлемым среди многих киберпреступников. В начале этого года хакеры и вовсе Для просмотра ссылки Войдиили Зарегистрируйся одну из больниц, опубликовав обнажённые фотографии пациенток с раком груди.
Для контраста, вымогательская группировка LockBit уже неоднократно приносила публичные извинения за действия своих аффилиатов. Так, в январе хакеры Для просмотра ссылки Войдиили Зарегистрируйся атакованному «по ошибке» детскому госпиталю в Канаде, а в апреле Для просмотра ссылки Войди или Зарегистрируйся для американского школьного округа Olympia Community Unit 16.
Возвращаясь к группировке BlackCat, можно отметить, что в последнее время она демонстрирует стремление развиваться и укреплять свои позиции. Недавно руководители группы приняли в свою партнёрскую программу хакерскую группировку Octo Tempest, богатый опыт которой в области SIM-свопинга, смс-фишинга и социальной инженерии оказался достаточно привлекательным для BlackCat, чтобы предложить группировке сотрудничество.
Таким образом, несмотря на предпринимаемые меры безопасности, BlackCat продолжает эволюционировать и адаптироваться к новым условиям. Их последняя тактика с вредоносной рекламой демонстрирует изощрённость и гибкость подхода группы.
Компаниям необходимо усилить мониторинг на предмет подозрительной активности и инвестировать в надёжные средства защиты, чтобы не стать следующей жертвой этой беспринципной группы киберпреступников.
Киберпреступные объединения, действующие в рамках вымогательской операции BlackCat (ALPHV), перешли на новую тактику — использование вредоносной рекламы для получения первоначального доступа к системам жертв.
Под видом популярного бизнес-софта, такого как корпоративный мессенджер Slack или VPN -клиент AnyConnect от Cisco , злоумышленники распространяют вредоносную программу Nitrogen, которая служит для установления первоначального контроля над системой и последующего запуска вымогательского ПО.
Для просмотра ссылки Войди
«Nitrogen — это ПО для первоначального проникновения, использующее библиотеки Python для скрытности», — поясняет Киган Кеплингер, старший исследователь угроз в eSentire. «Этот плацдарм обеспечивает злоумышленникам первоначальный вход в IT-среду целевой организации».
Как только хакеры закрепляются в сети атакуемой компании, они могут заразить её любым вредоносным ПО по своему выбору. В рамках рассмотренной операции этим ПО была программа-вымогатель ALPHV/BlackCat.
Использование популярных Python-библиотек помогает скрыть следы вторжения в обычном трафике. В то время как дополнительные методы обфускации ещё больше затрудняют обнаружение атаки.
Группа BlackCat известна в киберпреступном сообществе практически полным отсутствием чести и моральных принципов. Так, вымогательское ПО банды не раз использовалось в атаках на медицинские учреждения, что считается неприемлемым среди многих киберпреступников. В начале этого года хакеры и вовсе Для просмотра ссылки Войди
Для контраста, вымогательская группировка LockBit уже неоднократно приносила публичные извинения за действия своих аффилиатов. Так, в январе хакеры Для просмотра ссылки Войди
Возвращаясь к группировке BlackCat, можно отметить, что в последнее время она демонстрирует стремление развиваться и укреплять свои позиции. Недавно руководители группы приняли в свою партнёрскую программу хакерскую группировку Octo Tempest, богатый опыт которой в области SIM-свопинга, смс-фишинга и социальной инженерии оказался достаточно привлекательным для BlackCat, чтобы предложить группировке сотрудничество.
Таким образом, несмотря на предпринимаемые меры безопасности, BlackCat продолжает эволюционировать и адаптироваться к новым условиям. Их последняя тактика с вредоносной рекламой демонстрирует изощрённость и гибкость подхода группы.
Компаниям необходимо усилить мониторинг на предмет подозрительной активности и инвестировать в надёжные средства защиты, чтобы не стать следующей жертвой этой беспринципной группы киберпреступников.
- Источник новости
- www.securitylab.ru
