Изображение: Лина Уайт
Прошли те времена, когда группы программ-вымогателей запускали массовые кампании спама по электронной почте в надежде заразить случайных пользователей в Интернете.
Сегодня операторы программ-вымогателей произошли от ниша неуклюжих группировок вредоносных программ в ряд сложных картелей киберпреступлений с навыками, инструментами и бюджетами спонсируемых правительством хакерских групп.
В настоящее время банды вымогателей полагаются на многоуровневое партнерство с другими операциями по киберпреступности. Называемые « брокерами первичного доступа », эти группы действуют как цепочка поставок преступного подполья, предоставляя бандам вымогателей (и другим) доступ к большим коллекциям скомпрометированных систем.
Состоящие из взломанных конечных точек RDP, сетевых устройств с бэкдором и компьютеров, зараженных вредоносным ПО, эти системы позволяют бандам вымогателей легко получать доступ к корпоративным сетям, расширять свой доступ и шифровать файлы, требуя огромных выкупов.
Эти брокеры первичного доступа являются важной частью киберпреступности. Сегодня три типа брокеров выделяются как источники большинства атак с использованием программ-вымогателей:
- Продавцы скомпрометированных конечных точек RDP: Банды киберпреступников в настоящее время проводят атаки грубой силы на рабочие станции или серверы, настроенные для удаленного доступа по протоколу RDP, которые также остались открытыми в Интернете со слабыми учетными данными. Эти системы позже продаются в так называемых «магазинах RDP», откуда банды вымогателей часто выбирают системы, которые, по их мнению, могут быть расположены внутри сети важной цели.
- Продавцы взломанных сетевых устройств: Банды киберпреступников также используют эксплойты для широко известных уязвимостей, чтобы взять под контроль сетевое оборудование компании, такое как серверы VPN, межсетевые экраны или другие периферийные устройства. Доступ к этим устройствам и внутренним сетям, которые они защищают / подключаются, продается на форумах хакеров или напрямую бандам вымогателей.
- Продавцы компьютеров, уже зараженных вредоносным ПО: Многие из сегодняшних бот-сетей вредоносных программ часто прочесать зараженные компьютеры для систем в корпоративных сетях, а затем продать доступ к этим ценным системам другим киберпреступникам, включая банды вымогателей.
Защита от этих трех типов исходных векторов доступа часто самый простой способ избежать программ-вымогателей.
Однако, хотя защита от первых двух обычно включает в себя применение надежных политик паролей и обновление оборудования, от третьего вектора защитить труднее.
Это связано с тем, что операторы вредоносных ботнетов часто полагаются на социальную инженерию, чтобы обманом заставить пользователей установить вредоносное ПО в свои системы, даже если на компьютерах установлено новейшее программное обеспечение.
Эта статья посвящена известные штаммы вредоносных программ, которые использовались в течение последних двух лет для установки программ-вымогателей.
Составленный с помощью исследователей безопасности из Advanced Intelligence, Binary Defense и Sophos, приведенный ниже список должен использоваться как «красный код» "момент для любой организации.
Как только любой из этих штаммов вредоносных программ обнаружен, системные администраторы должны удалить все, отключить системы, проверить и удалить вредоносное ПО в качестве главного приоритета.
ZDNet будет обновлять список в дальнейшем.
Emotet считается крупнейший на сегодняшний день ботнет вредоносного ПО.
Есть несколько случаев, когда Emotet имел дело с бандами вымогателей напрямую, но многие случаи заражения вымогателями восходят к первоначальному заражению Emotet.
Обычно Emotet продавал доступ к своим зараженные системы другим группам вредоносных программ, которые позже продали свой собственный доступ бандам вымогателей.
Сегодня наиболее распространенная цепочка заражения вымогателями, связанная с Emotet, — это: Emotet — Trickbot — Ryuk
]
[19459037impressionr-trickbotpng»/> inventory[19459024visibleTrickbot — вредоносный бот net и киберпреступность похожа на Emotet. Trickbot заражает своих собственных жертв, но также известен тем, что покупает доступ к зараженным Emotet системам, чтобы увеличить свое число.
За последние два года исследователи безопасности видели, как Trickbot продавал доступ к своим системам бандам киберпреступников, которые позже развернул Ryuk, а затем программу-вымогатель Conti.
Trickbot — Conti
Trickbot — Ryuk
BazarLoader в настоящее время считается модульным бэкдором, разработанным группа со ссылками или которая возникла из основной банды Trickbot. В любом случае, независимо от того, как они возникли, группа следует модели Трикбта и уже сотрудничает с бандами вымогателей, чтобы обеспечить доступ к системам, которые они заражают.
В настоящее время BazarLoader рассматривается как исходная точка для заражение программой-вымогателем Ryuk [1, 2, 3].
BazarLoader — Ryuk
visible[19459023impression[19459045providedr-qbotpng»/> QakBot, Pinkslipbot, Qbot или Quakbot иногда называют внутри информационного сообщества «более медленным» Emotet, потому что он обычно делает то же, что и Emotet, но несколько месяцев спустя.
Группа Emotet разрешила использовать свои системы для развертывания программ-вымогателей, и QakBot недавно также стал партнером различных групп программ-вымогателей. gs. Сначала с MegaCortex, затем с ProLock, а в настоящее время с бандой вымогателей Egregor.
QakBot — MegaCortex
QakBot — ProLock
QakBot —Эгрегор
SDBBot — это штамм вредоносного ПО, управляемый киберпреступной группой, именуемой TA505.
Это не распространенный штамм вредоносного ПО, но считается источником инцидентов, в которых была развернута программа-вымогатель Clop .
SDBBot — Clop
Dridex — еще одна реорганизованная банда банковских троянцев как «загрузчик вредоносных программ», следуя примерам, приведенным Emotet и Trickbot в 2017 году.
В то время как в прошлом ботнет Dridex использовал спам-кампании для распространения вымогателя Locky среди случайных пользователей в Интернете, в последние несколько лет, они также используют зараженные компьютеры для удаления штаммов вымогателей BitPaymer или DoppelPaymer для более целенаправленных атак на особо важные цели.
Dridex — BitPaymer
Dridex — DoppelPaymer
Опоздавшая на «установку вымогателей», Zloader быстро догоняет и уже установил партнерские отношения с операторами штаммов вымогателей Egregor и Ryuk.
Если есть одна вредоносная операция, которая имеет возможность и связи расширяться, вот она.
Zloader — Egregor
Zloader — Ryuk
Buer или Buer Loader — это вредоносная программа, которая была запущена в конце прошлого года, но уже завоевала репутацию и связи в подполье киберпреступников, чтобы сотрудничать с группами вымогателей.
Пер Софос, некоторые инциденты, когда Ryuk были обнаружены программы-вымогатели, которые за несколько дней до этого были связаны с инфекциями Buer.
Buer-Ryuk
Phorpiex, или Trik, является одним из небольших вредоносных ботнетов, но не менее опасным.
Заражение с помощью программы-вымогателя Avaddon, обнаруженное ранее в этом году, было связано с Phorpiex. Хотя ни Аваддон, ни Форпикс не являются общепринятыми именами, к ним следует относиться с таким же вниманием, как к Эмотету, Трикботу и другим.
Форпикс — Аваддон
CobaltStrike не является вредоносным ботнетом. На самом деле это инструмент тестирования на проникновение, разработанный для исследователей кибербезопасности, которым также часто злоупотребляют банды вредоносных программ.
Компании не «заражаются» CobaltStrike. Однако многие банды вымогателей развертывают компоненты CobaltStrike как часть своих вторжений.
Инструмент часто используется как способ управления несколькими системами внутри внутренней сети и как предвестник фактической атаки вымогателей.
Многие из перечисленных выше цепочек заражения на самом деле являются [MalwareBotnet] —CobaltStrike— [Ransomware] причем CobaltStrike обычно выступает в качестве наиболее распространенного промежуточного звена, соединяющего эти две цепи.
Мы включили CobaltStrike в наш список по запросу наших источников, которые считают его опасным де-факто штаммом вредоносного ПО. Если вы видите это в своей сети и не проводите тест на проникновение, остановите все, что вы делаете, отключите системы и проверьте все на предмет точки входа для атаки.
