Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Хакеры, стоящие за атакой на Colonial Pipeline, обновили свое ПО и прекратили работать с партнерами

27/09/22

Fin7-2

По данным ИБ-компании Symantec, группировка Coreid (FIN7, Carbon Spider), обновила свою программу-вымогатель Darkside и предлагает более продвинутые возможности своим партнерам.

Программа-вымогатель Darkside приобрела известность в мае 2021 года, когда она была использована в разрушительной атаке на крупнейшую трубопроводную систему США Colonial Pipeline, напоминает Securitylab.

В своем отчете Symantec подробно описала актуальные методы Coreid для проведения вымогательских атак на организации. Coreid работает по RaaS-схеме, собирая деньги с аффилированных лиц, которые используют инструменты группы в своих атаках. После того, как инцидент с Colonial Pipeline привлек чрезмерное внимание к Darkside, его создатели переименовали программу в BlackMatter , а затем в Noberus. И именно Noberus представляет большую угрозу благодаря более сложным инструментам и технологиям.

Noberus предлагает 2 разных алгоритма шифрования и 4 режима шифрования. По умолчанию используется прерывистое шифрование для того, чтобы быстро и надежно зашифровать данные, при этом оставаясь незамеченным.

Для извлечения украденных файлов Noberus использует инструмент Exmatter, который, по словам Symantec, предназначен для кражи определенных типов файлов из выбранных каталогов и последующей загрузки их на сервер злоумышленника еще до развертывания программы-вымогателя. Exmatter постоянно совершенствуется и может извлекать файлы через FTP, SFTP или WebDav. Он может создать отчет обо всех эксфильтрованных файлах. Также он может самоуничтожиться, если работает не в корпоративной среде.

Noberus также может использовать инфостилеры для получения учетных данных от ПО для резервного копирования Veeam, продукта для защиты данных и аварийного восстановления, используемого многими организациями для хранения учетных данных контроллеров домена и облачных служб. Вредоносное ПО Infostealer.Eamfo, может подключаться к базе данных SQL, в которой хранятся учетные данные, и красть их с помощью определенного SQL-запроса.

Сейчас Coreid избавляется от партнеров, которые не приносят им достаточную прибыль. Хакеры поощряют только прибыльных клиентов. Любой партнер, который приносит более $1,5 млн., получает доступ к инструментам DDoS-атаки, базам данных телефонных номеров жертв, чтобы связаться с ними напрямую, и бесплатным методам брутфорс-атаки.

Темы:УгрозыSymantecFin7КиберугрозыColonial Pipeline
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...