Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Кибергруппировка FIN6 пополнила арсенал вымогателями LockerGoga и Ryuk

08/04/19

hack60Киберпреступная группировка FIN6, известная своими атаками на PoS-терминалы, расширила сферу деятельности, включив в арсенал вымогательское ПО LockerGoga и Ryuk. Изменения в поведении группировки заметили специалисты компании FireEye, расследовавшие несколько не связанных друг с другом атак с использованием данных вредоносов. В ходе анализа они заметили ряд признаков, указывающих на причастность FIN6.

Атаки начались в июле 2018 года, в это же время число атак на PoS-терминалы, осуществляемых группировкой, значительно сократилось. Эксперты не раскрыли названия пострадавших компаний, но уточнили, что речь идет об ущербе в десятки миллионов долларов. Учитывая различия в тактике между новыми атаками и предыдущей деятельностью FIN6, распространение программ-вымогателей может быть делом рук отдельных участников группировки, ищущих дополнительный способ заработка, полагают исследователи.

Проникнув в сеть жертвы, злоумышленники «разведывают обстановку» с помощью различных средств: краденных учетных данных, инструмента Cobalt Strike, ПО Metasploit, AdFind и 7-Zip. Продвижение по сети осуществляется через протокол удаленного подключения RDP. После установки соединения атакующие используют две техники: первая предполагает применение PowerShell для выполнения зашифрованных команд, внедрения Cobalt Strike на скомпрометированную систему и загрузку вредоносного ПО. Вторая заключается в создании рандомных сервисов Windows для исполнения команд PowerShell и загрузки дополнительных вредоносных модулей с управляющего сервера. С помощью архиватора 7-Zip похищенные данные запаковываются и затем отправляются на С&C-сервер.

Темы:УгрозыFireEyeLockerGoga
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...