10.11.2021 | Эксперты выявили группировку брокеров начального доступа Zebra2104 |
Команда исследователей из BlackBerry рассказала подробности о группе брокеров начального доступа под названием Zebra2104, связанной с тремя различными киберпреступными группировками — MountLocker, Phobos и StrongPity (также известной как Promethium). Так называемые брокеры, предоставляющие начальный доступ к сетям, стараются взломать как можно больше организаций, но не пользуются возможностью для кражи данных или вмешательства в работу компьютерных систем, а продают этот доступ другим киберперступникам, в том числе операторам программ-вымогателей и APT-группировкам. «Брокеры сначала получают доступ к сети жертвы, а затем продают этот доступ тому, кто предложит самую высокую цену на подпольных форумах в даркнете. Позже победитель торгов часто будет развертывать программы-вымогатели и/или другие вредоносные программы в сети жертвы, в зависимости от целей кампании», — отметили исследователи BlackBerry. По результатам анализа более 1 тыс. списков доступа, выставленных на продажу брокерами на подпольных форумах в темной сети, эксперты узнали, что средняя стоимость доступа к сети составляет $5,4 тыс. в период с июля 2020 года по июнь 2021 года. Наиболее ценные предложения включали права администратора домена в корпоративных сетях. Расследование экспертов началось с домена под названием trashborting[.]com, с которого загружались маяки Cobalt Strike. Некоторые из полезных нагрузок программ-вымогателей были нацелены на австралийские компании по недвижимости и правительственные ведомства в сентябре 2020 года. Еще один домен supercombinating[.]com, зарегистрированный вместе с trashborting[.]com, связан с деятельностью MountLocker и Phobos. |
Проверить безопасность сайта