Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Кибергруппировка FIN6 пополнила арсенал вымогателями LockerGoga и Ryuk

08/04/19

hack60Киберпреступная группировка FIN6, известная своими атаками на PoS-терминалы, расширила сферу деятельности, включив в арсенал вымогательское ПО LockerGoga и Ryuk. Изменения в поведении группировки заметили специалисты компании FireEye, расследовавшие несколько не связанных друг с другом атак с использованием данных вредоносов. В ходе анализа они заметили ряд признаков, указывающих на причастность FIN6.

Атаки начались в июле 2018 года, в это же время число атак на PoS-терминалы, осуществляемых группировкой, значительно сократилось. Эксперты не раскрыли названия пострадавших компаний, но уточнили, что речь идет об ущербе в десятки миллионов долларов. Учитывая различия в тактике между новыми атаками и предыдущей деятельностью FIN6, распространение программ-вымогателей может быть делом рук отдельных участников группировки, ищущих дополнительный способ заработка, полагают исследователи.

Проникнув в сеть жертвы, злоумышленники «разведывают обстановку» с помощью различных средств: краденных учетных данных, инструмента Cobalt Strike, ПО Metasploit, AdFind и 7-Zip. Продвижение по сети осуществляется через протокол удаленного подключения RDP. После установки соединения атакующие используют две техники: первая предполагает применение PowerShell для выполнения зашифрованных команд, внедрения Cobalt Strike на скомпрометированную систему и загрузку вредоносного ПО. Вторая заключается в создании рандомных сервисов Windows для исполнения команд PowerShell и загрузки дополнительных вредоносных модулей с управляющего сервера. С помощью архиватора 7-Zip похищенные данные запаковываются и затем отправляются на С&C-сервер.

Темы:УгрозыFireEyeLockerGoga
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...