Microsoft раскрыла секрет вымогательской банды BlackByte

[Artifact]

Всего пять дней требуется злоумышленникам, чтобы перевернуть с ног на голову привычный уклад вещей организации-жертвы.
Недавно подразделение корпорации Microsoft под названием Microsoft Threat Intelligence исследовала атаки вымогательской кампании BlackByte 2.0 и показала , насколько быстры и разрушительны могут быть киберудары интернет-злодеев.
По данным специалистов, хакеры могут завершить весь процесс атаки, от получения первичного доступа до нанесения значительного ущерба, всего за пять дней. Они не теряют ни секунды полезного времени: быстро проникают в системы, методично и чётко шифруют важные данные, а затем требуют выкуп за их восстановление.
Столь сжатые сроки атак представляют собой большой вызов для организаций, которые отчаянно пытаются защитить себя от вредоносного влияния злоумышленников.
Для проведения своих атак хакеры BlackByte применяют мощное сочетание инструментов и техник. Исследование показало, что они успешно используют уязвимости неисправленных серверов Exchange. Так киберпреступники получают стабильный первичный доступ к целевым сетям, а затем готовят почву для последующих злонамеренных действий.
Вымогатели также применяют техники подмены процессов и обхода антивирусов, чтобы обеспечить успешное шифрование и избежать обнаружения. Кроме того, продвинутые веб-оболочки обеспечивают хакерам удалённый доступ и управление, позволяя долго и незаметно сохранять присутствие в заражённых системах.
В отчёте Microsoft также отмечено использование фреймворка Cobalt Strike, который облегчает C2-операции в скомпрометированных системах, а также использование вполне законного инструмента удалённого доступа под названием AnyDesk. Сочетание данных инструментов даёт злоумышленникам широкий спектр возможностей, что усложняет защиту со стороны организаций.
Помимо этих тактик, исследователи выявили несколько других тревожных практик, которые применяют киберпреступники. Они часто используют LotL-атаки, чтобы маскироваться под легитимные процессы и избегать обнаружения.
Кроме того, злоумышленники изменяют настройки архивации данных на заражённых машинах и удаляют любые резервные копии, чтобы предотвратить восстановление данных. А специально созданные бэкдоры обеспечивают негодяям продолжительный доступ после первоначальной компрометации.
Тревожный рост атак со стороны BlackByte требует немедленных действий от организаций по всему миру, поэтому Microsoft предоставила несколько практических рекомендаций.
В первую очередь эксперты призывают ограничить права администратора для корпоративных сотрудников, внедрить надёжные процедуры управления обновлениями, обеспечивая своевременное применение критических патчей безопасности. Затем стоит внедрить надёжное EDR-решение и качественные антивирусные программы. Включить «Защиту от подделки» Windows — также не будет лишним.
Кроме того, в своём отчёте эксперты предоставили индикаторы компрометации (IoC), включающие IP-адреса, которые используют злоумышленники в своих атаках. Заблокировав весь входящий трафик с этих адресов, а также доступ из общедоступных VPN-сервисов и неавторизованных выходных узлов Tor, компания может существенно повысить свою безопасность и не бояться хакерских атак.
Однако самое важное, что может спасти от кибернападения — банальная бдительность и осведомлённость. Если сотрудник компании знает о всех возможных сценариях компрометации, он дважды подумает, прежде чем запускать сомнительный файл, полученный от его «коллеги» по электронной почте, и станет чаще советоваться с отделом безопасности по поводу тех или иных своих действий.