25.11.2022 | Американские компании стали жертвами агрессивной кампании с использованием вредоноса QakBot |
По словам исследователей из Cybereason Йоакима Кандефельта и Даниэля Франкеля, в ходе своей последней вредоносной кампании Black Basta использовала вредоноса QakBot для создания начальной точки входа и перемещения в сети организации. Специалисты заметили, что злоумышленники отказались от Brute Ratel, вместо этого используя Qakbot для заражения нескольких компьютеров фреймворка Cobalt Strike . По словам исследователей, цепочка атак началась с фишингового письма, содержащего вредоносный IMG-файл, который при открытии запускает выполнение Qbot, который, в свою очередь, подключается к удаленному серверу для получения полезной нагрузки Cobalt Strike.
На этом этапе злоумышленники собирают учетные данные и осуществляют боковое перемещение в сети жертвы, чтобы разместить Cobalt Strike на нескольких серверах и затем взломать как можно больше конечных точек, используя собранные пароли, и запустить свое вымогательское ПО. Исследователи отмечают, что в некоторых случая хакерам удавалось получить привилегии администратора домена менее чем за два часа и перейти к развертыванию вымогательского ПО менее чем за 12 часов. Известно, что в ходе раскрытой вредоносной кампании от Black Basta пострадали более 10 различных кампаний. В двух случаях, обнаруженных Cybereason, хакеры развертывали не только вымогательское ПО, но и блокировали доступ жертв к своим сетям, отключая DNS, чтобы восстановить данные было еще сложнее. |
Проверить безопасность сайта