Эксперты предположили, что российские группировки сотрудничают друг с другом для защиты общих интересов.
https://www.securitylab.ru/upload/ib...3m8agniqvn.jpg
Согласно новому отчету MDR-поставщика eSentire, за майской утечкой данных Cisco стоит группировка, управляемая Evil Corp.
По словам eSentire атаку провел хакер под псевдонимом «mx1r». Ранее атакованная хакерами LockBit ИБ-компания Mandiant заявила, что mx1r является членом дочерней группы Evil Corp под названием UNC2165. Ранее Cisco приписала утечку связанной с Lapsus$ группировке Yanluowang .
Согласно данным eSentire:<ul><li>TTPs (Tactics, Techniques, and Procedures) атаки соответствуют тактике Evil Corp;</li>
</ul><ul><li>используемая инфраструктура совпадает с инфраструктурой Conti;</li>
</ul><ul><li>были развернуты полезные нагрузки программ-вымогателей Hive , Yanluowang и несколько дополнительных экземпляров Cobalt Strike.</li>
</ul>eSentire назвала этот кластер угроз как «HiveStrike», который также имеет сходство с фреймворком Conti ShadowStrike . eSentire предположила, что Conti предоставляет свою инфраструктуру группировке Evil Corp.
eSentire предложила меры, которые помогут компаниям защитить свои системы от кибератак. Среди прочих, к ним относятся:<ul><li>наличие автономных резервных копий всех важных файлов;</li>
</ul><ul><li>использование многофакторной аутентификации;</li>
</ul><ul><li>разрешение доступа к сетевым устройствам только администраторам с использованием VPN.</li>
</ul>