Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

Вымогатель NetWalker способен заразить систему всего за 1 час

01/09/20

hack92Специалисты проекта The DFIR Report опубликовали подробности атаки с использованием вымогательского ПО NetWalker на одну из установленных ими систем-ловушек (так называемых ханипотов).

В ходе атаки операторы вредоноса авторизовались в системе по RDP, запустили «маячок» (beacon) Colbat Strike, а затем извлекли данные памяти с помощью инструментов ProcDump и Mimikatz. Далее они получили доступ по RDP к контроллеру домена и с помощью инструмента командной строки PsExec запустили программу-вымогатель NetWalker. Весь процесс заражения занял примерно 1 час.

По словам исследователей, атака осуществлялась с IP-адреса 198.181.163[.]103 (вероятно IPVanish VPN). Злоумышленники авторизовались в учетной записи администратора домена и загрузили скрипты c37.ps1 и c37.exe. Первый скрипт, по всей видимости Cobalt Strike, работал примерно 16 минут. Анализ показал, что он также мог содержать вредоносы Windshield или SplinterRAT. Поскольку скрипт не инициировал никаких сетевых подключений, эксперты не удалось понять, рабочий он или нет.

Вскоре после c37.ps1, злоумышленники запустили второй скрипт - c37.exe. Он копирует себя в папку temp, а затем останавливает работу. Данный файл содержал вирус Neshta.

Наряду с вышеуказанными скриптами, на систему загружался инструмент AdFind и скрипты adf.bat и pcr.bat. На следующем этапе на систему загружались и запускались утилиты Mimikatz и Procdump.

Получив учетные данные, атакующие получили доступ по RDP к контроллеру домена и загрузили ip.list.txt, P100119.ps1 и инструмент PsExec. Последний использовался для доступа к системам с правами администратора домена, а далее операторы с помощью команды PowerShell запустили вымогательское ПО и оставили сообщение о выкупе. Изначально за восстановление файлов злоумышленники требовали $50 тыс., которые нужно было выплатить в течение 7 дней, в противном случае сумма увеличивалась до $100 тыс. Однако специалистам удалось снизить сумму выкупа до $35 тыс.

Темы:ИсследованиеУгрозыВымогатели
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...