Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Группировка REvil нашла партнеров для взлома корпоративных сетей

21/10/19

hack66-4Оператор одного из сервисов, работающего по модели «доступ-как-услуга» (access-as-a-service), начал сотрудничать с несколькими операторами вымогательского ПО, включая REvil (также известная как Sodinokibi), предлагая им доступ к сетям крупных компаний.

Преступники, занимающиеся взломом корпоративных сетей, предлагают свои навыки в даркнете и защищенных мессенджерах. Злоумышленники взламывают сети компании, а затем сдают в аренду или продают доступ операторам программ-шифровальщиков. Подобное взаимовыгодное сотрудничество позволяет распространять вымогательское ПО даже в защищенных сетях.

Исследователи из компании Advanced Intelligence (AdvIntel) обнаружили связь между двумя типами киберпреступных операций. Доступ к корпоративной сети может быть использован для нескольких вредоносных кампаний, включая BEC–атаки (business email compromise – компрометация деловой почты) и спам.

Киберпреступник под псевдонимом -TMT- начал сотрудничать с операторами REvil с августа 2019 года. Сотрудничать к REvil получилось благодаря Lalartu — известному пользователю даркнета, который практически поручился за разработчиков REvil. Lalartu и -TMT- обнаружили выгоду от партнерства с операторами вымогательского ПО и предложили им свои услуги.

В течение июня, июля и августа 2019 года -TMT- предлагал доступ к скомпрометированным корпоративным сетям, не называя имен жертв. Цены варьировались от $3 тыс. до $5 тыс. за доступ к сотням хостов и серверов компаний из разных стран, работающих в различных отраслях промышленности. Цены зависели от типа предлагаемого доступа, например, наиболее дешевые варианты предоставляли доступ к удаленному рабочему столу, который легче обнаружить.

В ходе одной из атак -TMT- получил полный доступ к административным панелям, хостам серверов и корпоративным VPN-сетям одной из жертв. Доступ был оценен в $20 тыс. По словам исследователей, киберпреступник «похитил учетные данные администратора, мог безопасно перемещаться по сети и повышать права доступа по мере необходимости».

Известно также, что тактики, методы и процедуры, применяемые -TMT-, включают использование Metasploit и платформы Cobalt Strike.

Темы:ПреступленияSodinokibiКиберугрозы
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...