- 13,855
- 20
- 8 Ноя 2022
Инструментарий киберпреступников всё ещё далёк от совершенства, но его активно развивают и дорабатывают.
Злоумышленники, стоящие за раскрытой недавно вредоносной кампанией с использованием программы-вымогателя Rhysida, опубликовали в Интернете то, что, по их утверждению, является высокочувствительными документами, украденными из сети чилийской армии.
Утечка произошла после того, как 29 мая чилийская армия подтвердила, что её системы пострадали в результате инцидента с безопасностью, впервые обнаруженного 27 мая. Об этом Для просмотра ссылки Войдиили Зарегистрируйся местная фирма по кибербезопасности под названием CronUp .
После обнаружения взлома сеть была изолирована, и эксперты по военной безопасности начали процесс восстановления затронутых систем.
Через несколько дней после раскрытия атаки местные СМИ Для просмотра ссылки Войдиили Зарегистрируйся , что местный армейский капрал был арестован по обвинению в причастности к данной вымогательской атаке.
«Вымогатели Rhysida опубликовали около 360 тысяч документов чилийской армии (и, согласно их данным, это всего лишь 30%)», — Для просмотра ссылки Войдиили Зарегистрируйся Герман Фернандес, исследователь CronUp.
Примечательно, что Rhysida описывает себя как «команду кибербезопасности», цель которой — помочь жертвам обезопасить свои сети Такой интересный подход ко взлому чем-то напоминает вымогателей Clop, которые «проводят пентест постфактум». Впервые хакеры Rhysida Для просмотра ссылки Войдиили Зарегистрируйся исследователями MalwareHunterTeam 17 мая этого года.
С тех пор группа вымогателей уже добавила восемь жертв на свой сайт утечки данных в даркнете и опубликовала все украденные файлы для пяти из них.
Для просмотра ссылки Войдиили Зарегистрируйся SentinelOne, участники угроз Rhysida проникают в сети своих жертв с помощью фишинговых атак и сбрасывают полезную нагрузку на скомпрометированные системы после первоначального развёртывания Cobalt Strike или аналогичных C2 -платформ.
Проанализированные исследователями образцы вредоносных программ используют алгоритм ChaCha20, и, судя по данным специалистов, инструментарий Rhysida всё ещё находится в разработке, поскольку в нём отсутствуют функции, которыми по умолчанию обладают большинство других разновидностей программ-вымогателей.
После выполнения программа запускает окно «cmd.exe», сканирует локальные диски и шифрует данные. После завершения работы вредонос сбрасывает по системе заметки о выкупе в формате PDF с именем CriticalBreachDetected.pdf. В заметке жертвы перенаправляются на портал утечки информации банды, где им предлагается ввести свой уникальный идентификатор, чтобы получить доступ к платежным инструкциям.
«Несмотря на то, что в инструментарии вымогателей пока отсутствуют многие стандартные функции, группа угрожает жертвам публичным распространением эксфильтрованных данных, что ставит их в один ряд с современными группами вымогателей», — подытожили специалисты SentinelOne.
Злоумышленники, стоящие за раскрытой недавно вредоносной кампанией с использованием программы-вымогателя Rhysida, опубликовали в Интернете то, что, по их утверждению, является высокочувствительными документами, украденными из сети чилийской армии.
Утечка произошла после того, как 29 мая чилийская армия подтвердила, что её системы пострадали в результате инцидента с безопасностью, впервые обнаруженного 27 мая. Об этом Для просмотра ссылки Войди
После обнаружения взлома сеть была изолирована, и эксперты по военной безопасности начали процесс восстановления затронутых систем.
Через несколько дней после раскрытия атаки местные СМИ Для просмотра ссылки Войди
«Вымогатели Rhysida опубликовали около 360 тысяч документов чилийской армии (и, согласно их данным, это всего лишь 30%)», — Для просмотра ссылки Войди
Примечательно, что Rhysida описывает себя как «команду кибербезопасности», цель которой — помочь жертвам обезопасить свои сети Такой интересный подход ко взлому чем-то напоминает вымогателей Clop, которые «проводят пентест постфактум». Впервые хакеры Rhysida Для просмотра ссылки Войди
С тех пор группа вымогателей уже добавила восемь жертв на свой сайт утечки данных в даркнете и опубликовала все украденные файлы для пяти из них.
Для просмотра ссылки Войди
Проанализированные исследователями образцы вредоносных программ используют алгоритм ChaCha20, и, судя по данным специалистов, инструментарий Rhysida всё ещё находится в разработке, поскольку в нём отсутствуют функции, которыми по умолчанию обладают большинство других разновидностей программ-вымогателей.
После выполнения программа запускает окно «cmd.exe», сканирует локальные диски и шифрует данные. После завершения работы вредонос сбрасывает по системе заметки о выкупе в формате PDF с именем CriticalBreachDetected.pdf. В заметке жертвы перенаправляются на портал утечки информации банды, где им предлагается ввести свой уникальный идентификатор, чтобы получить доступ к платежным инструкциям.
«Несмотря на то, что в инструментарии вымогателей пока отсутствуют многие стандартные функции, группа угрожает жертвам публичным распространением эксфильтрованных данных, что ставит их в один ряд с современными группами вымогателей», — подытожили специалисты SentinelOne.
- Источник новости
- www.securitylab.ru
