Обзор атак программ-вымогателей и связанных с ними инцидентов безопасности за прошедшую неделю (17-23 апреля)
Предлагаем ознакомиться с небольшим обзором атак программ-вымогателей и инцидентов безопасности, связанных с ними. В центре внимания: Action1, NCR, BlackCat, LockBit, macOS, Conti, FIN7, Phobos, VoidCrypt, CrossLock, Stop Ransomware, MedusaLocker, Play, Microsoft SQL, Trigona.
Хакеры начали использовать продукт удаленного мониторинга и управления Action1 (RMM) в атаках программ-вымогателей. Это ПО необходимо злоумышленникам для сохранения безопасности в скомпрометированных сетях и для выполнения команд, сценариев и двоичных файлов.
Американская консалтинговая компания NCR столкнулась с серьезным сбоем в работе терминалов Aloha POS после атаки программы-вымогателя BlackCat. После нескольких дней молчания компания NCR сообщила, что сбой был вызван атакой программы-вымогателя на центры обработки данных, которые использовались для питания их платформы Aloha POS.
Операторы программы-вымогателя LockBit впервые создали шифровальщика, нацеленного на Mac. Эксперты полагают, что такие атаки станут первой крупной операцией по вымогательству, специально предназначенной для macOS.
Бывшие члены хакерской группы Conti и разработчики FIN7 решили объединиться для продвижения нового вредоносного ПО Domino. Domino — это относительно новое семейство вредоносных программ, состоящее из двух компонентов: бэкдора под названием Domino Backdoor и Domino Loader, внедряющий DLL-файл для кражи данных в память другого процесса.
Эксперты по кибербезопасности рассказали об обнаружении новых вариантов программ-вымогателей Phobos, VoidCrypt, CrossLock, Stop Ransomware, MedusaLocker.
В марте 2023 года было зафиксировано рекордное количество инцидентов кибербезопасности, связанных с атаками программ-вымогателей — 459, что примерно на 91% больше, чем в феврале 2023 года. Основной причиной роста стала уязвимость CVE-2023-0669.
Группа хакеров-вымогателей Play разработала два специальных инструмента в .NET (Grixba и VSS Copying Tool), которые злоумшыленники используют для повышения эффективности своих кибератак.
Злоумышленники начали взламывать плохо защищенные и открытые серверы Microsoft SQL (MS-SQL) для развертывания полезной нагрузки программы-вымогателя Trigona и шифрования всех файлов.
Источник: cisoclub.ru