Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

Шифровальщик Sphynx был использован для получения доступа к облаку Azure

19/09/23

png-clipart-great-sphinx-of-giza-great-pyramid-of-giza-egyptian-pyramids-ancient-egypt-egyptian-pyramids-photography-cloud

Известная хакерская группа BlackCat (ALPHV) применяет фирменное программное обеспечение Sphynx и украденные учётные записи Microsoft для шифрования облачных хранилищ Azure. Среди пострадавших — одна из неназванных компаний-клиентов поставщика решений по кибербезопасности Sophos, пишет Securitylab. Специалисты последней провели расследование и обнаружили, что новый вариант Sphynx поддерживает использование пользовательских учётных данных для дальнейшей компрометации.

Атакующие получили доступ к аккаунту комплексного решения для кибербезопасности Sophos Central, воспользовавшись украденным одноразовым паролем (OTP), извлечённым из хранилища LastPass с помощью вредоносного расширения для Chrome. После этого хакеры отключили защиту от вмешательства и изменили политики безопасности программного обеспечения.

Используя украденный ключ Azure, злоумышленники получили доступ к целевым хранилищам в облаке и успешно зашифровали 39 аккаунтов Azure, добавив к зашифрованным файлам расширение «.zk09cvt». Ключи для атаки были внедрены в бинарный код вымогателя после кодирования в формате Base64.

В ходе атаки использовались различные средства удалённого мониторинга и управления, включая AnyDesk, Splashtop и Atera.

Шифровальщик Sphynx был впервые обнаружен в марте 2023 года в ходе расследовании нарушения безопасности, описанного в отчёте IBM Security X-Force, опубликованном в конце мая . А для извлечения украденных данных использовался инструмент ExMatter.

Специалисты Microsoft также ранее отмечали , что новый вариант Sphynx содержит вредоносные инструменты Remcom и Impacket для перемещения по скомпрометированным сетям.

Исследователи постоянно отмечают, что группировка BlackCat (ALPHV) постоянно совершенствует свои методы атаки. Например, в прошлом году хакеры запустили отдельный сайт для утечки украденных данных, а в июле ввели специальный API для упрощения распространения этих данных в открытом сегменте Интернета.

На прошлой неделе аффилированное подразделение группы BlackCat (известное как Scattered Spider) заявило об атаке на MGM Resorts. Представитель группировки утверждал в интервью со СМИ, что специалисты группы зашифровали более 100 гипервизоров ESXi компании MGM после отказа последней вести переговоры о выкупе.

Темы:Облачные технологииПреступленияSophosшифровальщикиLastPassMicrosoft AzureBlackCat
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...