Совместная кампания использовала все возможные способы взлома и метод тройного шифрования.
https://www.securitylab.ru/upload/ib...41755fa1c3.jpg
Согласно отчету ИБ-компании Sophos , на одну организацию напали сразу 3 группировки – Hive , LockBit и BlackCat , используя, криптомайнеры, трояны удаленного доступа (RAT) и ботов.
3 банды вымогателей последовательно атаковали одну и ту же сеть и оставили записку с требованием выкупа. Некоторые файлы были подвержены тройному шифрованию. Название атакованной организации исследователи не уточняют.
https://www.securitylab.ru/upload/im...t-img(286).png
Последовательность атак с разницей в несколько дней или недель позволяет предположить, что злоумышленники взломали сеть, используя одну и ту же уязвимость. По словам Sophos, большинство первоначальных заражений сети произошло либо из-за неисправленных уязвимостей, в частности Log4Shell, ProxyLogon и ProxyShell, либо из-за слабой защиты RDP-серверов. Неправильные настройки RDP-сервера и приложений RDWeb или AnyDesk позволили хакерам провести последующие атаки.
Обычно группировки конкурируют друг с другом или даже «убивают» своих конкурентов в одной и той же системе, что затрудняет проведение нескольких атак на одну систему. Однако, в своей атаке BlackCat удалила следы своей активности, а также следы активности LockBit и Hive.
Эксперты не приводят доказательства сотрудничества групп, но считают, что киберпреступники договорились о взаимовыгодном сотрудничестве, например, одна группа шифрует данные, а другая эксфильтрует.
Вероятно, киберпреступники осознали, что существует конечное число «ресурсов» на все более конкурентном рынке. Также хакеры могут полагать, что жертва, оказавшаяся под атакой нескольких злоумышленников, с большей вероятностью заплатит выкуп. По словам экспертов, именно эти причины послужили проведению совместной атаки.