Чужая ошибка рискует стать вашей
payshanba, 29-oktabr, 2020
Очень хочется сказать, что сейчас мы расскажем поучительную историю – но не получается. Историю-то мы расскажем, но вот те, кто не пострадал, выводы из нее сделают вряд ли. Однако попытаться следует!
Энергетическая компания Enel Group во второй раз в этом году подверглась атаке программ-вымогателей. На этот раз группировка злоумышленников Netwalker просит с нее выкуп в размере 14 миллионов долларов за ключ дешифрования и отказ от публикации нескольких терабайт украденных данных.
В начале июня внутренняя сеть Enel была атакована программой-вымогателем Snake, также известной как EKANS, но эта попытка была обнаружена до того, как вредоносная программа могла распространиться.
19 октября было опубликовано требование о выкупе от Netwalker.
По данным Netwalker, они украли у Enel около 5 терабайт данных и готовы обнародовать их часть в течение недели. Они также заявили, что «проанализируют каждый файл на предмет интересных вещей» и опубликуют его на своем сайте утечки.
Эта тактика предназначена для усиления давления и принуждения компании-жертвы к выплате.
Пострадавшая компания – одна из крупнейших в европейском энергетическом секторе: 61 000 000 клиентов в 40 странах. По состоянию на 10 августа компания занимает 87-е место в рейтинге Fortune Global 500 с выручкой почти 90 миллиардов долларов в 2019 году.
NetWalker впервые появился в августе 2019 года. В своей первоначальной версии вымогатель носил имя Mailto, но к концу 2019 года был переименован в NetWalker.
Программа-вымогатель работает по схеме Ransomware-as-a-Service (RaaS) с закрытым доступом через портал программы-вымогателя. Банды хакеров регистрируются на данном портале и проходят процесс проверки, после чего им предоставляется доступ к веб-порталу, где они могут создавать собственные версии вымогателя.
Далее вымогатель распределяется по бандам второго уровня и каждая группа распространяет вымогатель так как она хочет.
Об этой атаке сведений пока нет, но обычно хакерские группировки используют характерные техники проникновения.
Злоумышленник вошел в систему через RDP, используя учетную запись DomainName \ Administrator, попытался запустить Cobalt Strike Beacon, а затем сбросил дамп памяти (сдампил) с помощью ProcDump и Mimikatz. Затем он подключился к контроллеру домена по протоколу RDP, используя PsExec запустил вымогатель NetWalker на всех присоединенных к домену системах.
Вначале был запущен скрипт c37.ps1. Через несколько минут был запущен c37.exe, который копирует себя во временный каталог, а затем останавливается.
Бинарный файл c37.exe включает код Neshta, poison, BazarBackdoor, XMRig и большую часть CobaltStrike.
Попытка запуска исследователями данных программ в песочнице не была успешной - , что говорит нам о том, что эти маяки включают методы обхода песочницы.
… Через несколько минут после запуска AdFind открылась командная строка, и следующие команды были либо скопированы и вставлены медленно, либо введены вручную.
Вскоре после этого сценарий с именем pcr.bat был удален и выполнен.
На все про все у хакеров ушло ровно 1 час 5 минут. Первичное проникновение произошло через использование скомпрометированной учетки RDP.
Мы привели не весь отчет, полностью он доступен по ссылке выше (на английском). Но основные дыры в безопасности очевидны.
- Слабые пароли администратора системы, что позволило злоумышленникам войти в сеть.
- Наличие удаленного доступа в сеть без ограничений по адресам – то есть без перечисления адресов, с которых доступен тот или иной компьютер.
- Возможность бесконтрольного запуска программного обеспечения.
- Отсутствие проверки поступающих файлов песочнице класса Dr.Web vxCube. Хакеры внедрили методы обхода общедоступных песочниц.
И, как мы видим, несмотря на гигантскую прибыль атакованных компаний и очевидно немалые суммы, выделявшиеся на безопасность, хакерам не пришлось применять изощренные техники взлома, подкупать или шантажировать.
#взлом #выкуп #вымогательство #защита_от_потери_данных #история #ущерб
Антивирусная правДА! рекомендует
Вирус проник в локальную сеть и заразил все клиенты а также NAS с бекапами.
Запрос в техническую поддержку «Доктор Веб»
Есть хорошая поговорка – о том, что умные учатся на чужих ошибках. Но судя по всему, пока всех до одного не взломают, стойкие пароли использоваться не будут, равно как не будет разделения сетей на отдельные подсети, а те машины, на которые осуществляется резервное копирование, будут по-прежнему доступны по сети.
А рекомендация наша очевидна: учитесь на чужих ошибках!
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Lia00
14:08:49 2020-11-20
Dragstars
18:41:38 2020-11-01
Неуёмный Обыватель
23:17:36 2020-10-30
anatol
20:23:34 2020-10-30
Альфа
23:10:53 2020-10-29
Karnegi
21:35:29 2020-10-29
tigra
21:07:57 2020-10-29
Dvakota
21:06:22 2020-10-29
Korney
21:00:03 2020-10-29
orw_mikle
20:27:35 2020-10-29
Serg07
19:55:45 2020-10-29
Геральт
19:45:49 2020-10-29
Masha
18:16:51 2020-10-29
L1t1um
17:55:04 2020-10-29
Татьяна
17:54:27 2020-10-29
vinnetou
15:34:48 2020-10-29
Денисенко Павел Андреевич
14:03:11 2020-10-29
Пaвeл
12:36:56 2020-10-29
SGES
12:21:02 2020-10-29
GREEN
10:51:29 2020-10-29
Иногда думаешь, ну как, как это могло случиться? Немаленькая же компания, всё под присмотром (должно быть!). Ведь наверняка всё есть: деньги, рабочая инфраструктура ... Была бы только "добрая воля" руководства. Но нет, ничего не помогает против разгильдяйства, только собственный "горький" опыт.
ka_s
10:44:17 2020-10-29
DrKV
10:33:01 2020-10-29
vkor
09:55:00 2020-10-29
Alexander
09:16:05 2020-10-29
Правильные, хорошие и, главное, реально исполнимые рекомендации даёт нам Dr.Web. И о стойких паролях, и о разделении сетей, и об изолировании второй "корзины с яйцами", - "заначки", которая, на самом деле, - это backup.
Но может быть, не совершив "своих" ошибок невозможно понять и глубоко оценить кажущиеся ошибки других? Кто же это может знать наверняка?! Ведь, как правило, мы обсуждаем уже случившееся событие, которое произошло с нами или с кем-то другим...
Но вот что я знаю наверняка, - так это то, что учиться действительно необходимо. Учиться не формально, а въедливо и глубоко, изучая и анализируя окружающий нас всех мир. В том числе и народную мудрость в виде поговорок, сказок и притчей.
И мудрость эта говорит, освежи-ка ты свои знания об Dr.Web Security Space... Не откладывай на завтра то, что можно сделать сегодня!
Vlad X
09:03:36 2020-10-29
создавать базу хранения,на это надо время.Вот и не хотят
заморачиваться.
Stan
08:52:04 2020-10-29
Stan
08:51:32 2020-10-29
maestro431
08:05:08 2020-10-29
runikot
07:54:04 2020-10-29
Sergey
07:14:57 2020-10-29
Любитель пляжного футбола
06:36:03 2020-10-29
Slava90
05:55:15 2020-10-29
achemolganskiy
05:47:52 2020-10-29
Morpheus
04:41:00 2020-10-29