Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Операторы вымогателя Hello пытались использовать методы китайских APT-группировок

24/09/21

hack54-Sep-24-2021-09-52-06-53-AMКоманда исследователей в области кибербезопасности из компании eSentire рассказала подробности о загадочной кибератаке, в ходе которой использовались сложные методы установки относительно простой программы-вымогателя.

Вредоносная кампания была обнаружена, когда киберпреступники попытались осуществить атаку с помощью программы-вымогателя на неназванную организацию по тестированию безопасности продуктов. Атака была обнаружена и остановлена ​​до того, как стала успешной, но предоставила исследователям из eSentire достаточно информации для анализа используемых тактик, методов и процедур.

Использованные в данной вымогательской кампании методы имели сходство с методами китайской киберпреступной группировки APT27 (также известной как Emissary Panda). По словам экспертов, киберпреступники могли загрузить простое вымогательское ПО Hello в IT-среду жертву и таким образом отвлечь ИБ-экспертов от своих истинных мотивов — кибершпионажа.

Хакеры использовали уязвимости в Microsoft SharePoint и инструмент для удаленного доступа China Chopper, выполняющий роль бэкдора на скомпрометированных системах. Web-оболочка China Chopper часто используется китайскими APT-группировками и злоумышленниками.

Преступники также использовали Mimikatz для похищения паролей, повышения привилегий, попытки отключить защитные решения и выполнения PowerShell-команд с помощью техники маскарадинга, маскируясь под легитимное решение «Антивирус Касперского».

Применяя тактику киберпреступных группировок, злоумышленники предположительно намеревались увести расследование по ложному следу.

Вымогательское ПО Hello шифрует файлы c добавлением расширения .hello и оставляет записку с требованием выкупа. Программа-вымогатель Hello является довольно простой по стандартам самых известных программ-вымогателей в 2021 году, поскольку группировка не угрожает жертвам утечкой данных и не имеет сайта утечек данных для публикации похищенной информации. Кроме того, группировка не работает по бизнес-модели «вымогательское-ПО-как-услуга», как многие из наиболее распространенных на сегодня вариантов вымогателей.

Темы:ПреступленияAPT-группыВымогателиКиберугрозы
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...