Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Весь цикл атаки вымогательского ПО Ryuk длится 29 часов (http://txgate.io:443/showthread.php?t=16099)

Artifact 05-12-2025 06:33 PM

Специалисты представили подробное описание всех этапов атаки с использованием вымогательского ПО Ryuk.
https://www.securitylab.ru/upload/ib...9a6be0089e.jpg
Как сообщают специалисты проекта DFIR Report, атака с использованием вымогательского ПО Ryuk занимает 29 часов – начиная от отправки жертве электронного письма и заканчивая полной компрометацией среды и шифрованием систем.
Впервые об атаках Ryuk стало известно в 2018 году. Тогда предполагалось, что вымогательская программа – дело рук северокорейских хакеров из-за его сходства с вымогательской программой Hermes. Однако затем специалисты https://www.securitylab.ru/news/497434.phpRyuk с российскими хакерами.
В течение двух последних лет Ryuk использовался в огромном количестве кибератак на https://www.securitylab.ru/news/504572.phphttps://www.securitylab.ru/news/512536.php, в том числе на https://www.securitylab.ru/news/506234.php во время пандемии коронавируса. В случае с атаками, изученными специалистами DFIR Report, все начинается с вредоносного письма с ссылкой на загрузчик Bazar/Kegtap, внедряющийся во множество процессов и проводящий разведку зараженной системы с помощью утилит Windows, таких как nltest и net group, и стороннего инструмента AdFind.
Затем в течение дня вредонос не проявляет никакой активности, после чего снова проводит разведку с помощью тех же инструментов и Rubeus. Полученные данные отправляются на подконтрольный злоумышленникам сервер, а атакующие начинают боковое перемещение по сети.
Для компрометации дополнительных систем в сети злоумышленники используют различные методы, в том числе WMI, удаленное выполнение служб PowerShell и компонент Cobalt Strike, загружаемый по SMB. Далее этот компонент использовался как поворотный момент.
Затем в среде устанавливаются дополнительные компоненты, и с помощью PowerShell отключается Защитник Windows. Через минуту после передачи по SMB выполняется Ryuk и начинается шифрования (серверы с резервными копиями шифруются в первую очередь).
Согласно отчету DFIR Report с подробным описанием всех этапов атаки, Ryuk также передается остальным хостам в сети через SMB, а затем выполняется через RDP-соединение с контроллера домена.
«В общей сложности кампания длилась 29 часов – от первоначального запуска Bazar до выполнения вымогательского ПО», – отмечается в отчете DFIR Report.
После шифрования вымогатель потребовал выкуп в размере порядка 600 биткойнов (около $6 млн). Впрочем, операторы Ryuk готовы торговаться.


All times are GMT. The time now is 02:42 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.