Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Шифровальщик Sphynx был использован для получения доступа к облаку Azure

19/09/23

png-clipart-great-sphinx-of-giza-great-pyramid-of-giza-egyptian-pyramids-ancient-egypt-egyptian-pyramids-photography-cloud

Известная хакерская группа BlackCat (ALPHV) применяет фирменное программное обеспечение Sphynx и украденные учётные записи Microsoft для шифрования облачных хранилищ Azure. Среди пострадавших — одна из неназванных компаний-клиентов поставщика решений по кибербезопасности Sophos, пишет Securitylab. Специалисты последней провели расследование и обнаружили, что новый вариант Sphynx поддерживает использование пользовательских учётных данных для дальнейшей компрометации.

Атакующие получили доступ к аккаунту комплексного решения для кибербезопасности Sophos Central, воспользовавшись украденным одноразовым паролем (OTP), извлечённым из хранилища LastPass с помощью вредоносного расширения для Chrome. После этого хакеры отключили защиту от вмешательства и изменили политики безопасности программного обеспечения.

Используя украденный ключ Azure, злоумышленники получили доступ к целевым хранилищам в облаке и успешно зашифровали 39 аккаунтов Azure, добавив к зашифрованным файлам расширение «.zk09cvt». Ключи для атаки были внедрены в бинарный код вымогателя после кодирования в формате Base64.

В ходе атаки использовались различные средства удалённого мониторинга и управления, включая AnyDesk, Splashtop и Atera.

Шифровальщик Sphynx был впервые обнаружен в марте 2023 года в ходе расследовании нарушения безопасности, описанного в отчёте IBM Security X-Force, опубликованном в конце мая . А для извлечения украденных данных использовался инструмент ExMatter.

Специалисты Microsoft также ранее отмечали , что новый вариант Sphynx содержит вредоносные инструменты Remcom и Impacket для перемещения по скомпрометированным сетям.

Исследователи постоянно отмечают, что группировка BlackCat (ALPHV) постоянно совершенствует свои методы атаки. Например, в прошлом году хакеры запустили отдельный сайт для утечки украденных данных, а в июле ввели специальный API для упрощения распространения этих данных в открытом сегменте Интернета.

На прошлой неделе аффилированное подразделение группы BlackCat (известное как Scattered Spider) заявило об атаке на MGM Resorts. Представитель группировки утверждал в интервью со СМИ, что специалисты группы зашифровали более 100 гипервизоров ESXi компании MGM после отказа последней вести переговоры о выкупе.

Темы:Облачные технологииПреступленияSophosшифровальщикиLastPassMicrosoft AzureBlackCat
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...