Дослідники у галузі кібербезпеки з компанії Advanced Intelligence (AdvIntel) повідомили про нові методи зламу, які використовують операторами здирницького програмного забезпечення Ryuk. За словами експертів, кіберзлочинці останнім часом частіше компрометували відкриті RDP-з’єднання для отримання початкового доступу в мережі жертв.
Зловмисники проводили масштабні брутфорс-атаки і використовували техніку “розпилення” паролів (password spray) під час атак на системи з включеним Remote Desktop Protocol для компрометації облікових даних користувачів.
Злочинці здійснювали цілеспрямований фішинг і використовували кампанії BazaCall для поширення шкідливих програм через зловмисні центри обробки викликів. Зловмисники перенаправляли корпоративних користувачів на шкідливі ресурси і обманом змушували завантажити інфікований шкідливим ПЗ документ Microsoft Excel.
За словами експертів, оператори Ryuk проводять розвідку в два етапи. Перший етап полягає у визначенні цінних ресурсів на скомпроментованому домені, включаючи інформацію про загальні мережеві ресурси, користувачів, організаційні одиниці Active Directory. Другий – у виявленні інформації про доходи компанії для визначення суми викупу, яку жертва може дозволити собі заплатити для відновлення систем.
Для перерахування інформації про активний каталог злочинці використовували інструменти AdFind і Bloodhound. Додаткова розвідка проводиться за допомогою інструменту Cobalt Strike.
Злочинці також використовували інструмент з відкритим вихідним кодом KeeThief для розкрадання облікових даних з диспетчера паролів KeePass і інструмент CrackMapExec для розкрадання облікових даних адміністратора і переміщення по мережі жертви. KeeThief застосовували для обходу EDR і інших засобів захисту шляхом крадіжки облікових даних локального IT-адміністратора. Ще одна тактика полягала у використанні портативної версії Notepad ++ для запуску PowerShell-скриптів на системах з обмеженням виконання PowerShell.
За даними AdvIntel, оператори Ryuk в 2021 році експлуатували уразливості підвищення привілеїв в компоненті Windows Win32k ( CVE-2018-8453 ) і в програмному продукті Microsoft SharePoint (CVE-2019-1069).
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як увімкнути записування відео HDR на iPhone? ІНСТРУКЦІЯ
Онлайн-шопінг у соцмережах: як не бути ошуканим?
Як таємно спілкуватися у месенджері Telegram на iOS та Android? ІНСТРУКЦІЯ
Як правильно вибрати ноутбук? ПОРАДИ
Як безкоштовно надсилати захищені паролем електронні листи? ПОРАДИ
Нагадаємо, дослідники безпеки опублікували в Мережі PoC-експлойт для запуску шкідливого коду в Chrome, Edge, Vivaldi, Opera і інших браузерах на базі Chromium. Уразливість зачіпає JavaScript-движок V8 і вже виправлена в його вихідному коді, але виправлення поки ще не інтегровано ні з кодовою базою Chromium, ні з заснованими на ньому проектами.
Також дослідники виявили безліч уразливостей в популярних додатках, що допускають виконання довільного коду в системах користувачів всього лише за допомогою одного кліка. Саме тому такі баги отримали неформальне ім’я “уразливості одного кліка” (one-click vulnerabilities).
Розробники WhatsApp усунули дві небезпечні уразливості в Android-версії месенджера. Якщо зловмисник задіє ці дві уразливості в атаці, у нього з’явиться можливість виконати шкідливий код і віддалено зламати мобільний пристрій жертви.
Окрім цього, кіберзлочинці атакують уразливі сервери Microsoft Exchange з метою встановлення програмного забезпечення для майнінгу криптовалют у рамках шкідливої кампанії, спрямованої на використання обчислювальних потужностей скомпрометованих систем для заробітку.