22/06/20
Когда компания подвергается атаке с использованием вымогательского ПО, многие жертвы считают, что злоумышленники быстро устанавливают вредоносы и покидают сеть во избежание обнаружения. Но на самом деле преступники не так быстро отказываются от скомпрометированного ресурса, сообщило издание BleepingComputer.
Вместо этого кибератаки могут совершаться спустя несколько дней и недель после взлома уязвимой сети. Взлом может быть осуществлен с помощью уязвимой службы удаленного рабочего стола, уязвимостей в программном обеспечении VPN или путем удаленного доступа, предоставленного вредоносными программами, такими как TrickBot, Dridex и QakBot.
Преступники используют такие инструменты, как Mimikatz, PowerShell Empire и PSExec для хищения учетных данных и перемещения по сети. Получив доступ к компьютерам в сети, злоумышленники используют похищенные учетные данные для кражи конфиденциальных данных с устройств резервного копирования и серверов перед развертыванием вымогателей. Многие жертвы ошибочно предполагают, что на данном этапе преступники покидают скомпрометированную сеть, однако это убеждение далеко от истины.
Например, операторы вымогательского ПО Maze сообщили на своем сайте о взломе сети дочерней компании ST Engineering под названием VT San Antonio Aerospace (VT SAA). Преступники опубликовали документ, содержащий отчет IT-отдела жертвы об их атаке. Как показывает украденный документ, операторы Maze все еще скрывались в сети жертвы и продолжали похищать файлы, пока продолжалось расследование инцидента.
