Финансы, бухгалтерия и отчёты отправляются хакерам, а затем надёжно шифруются.
В августе 2023 года группа реагирования на инциденты компании Sophos Для просмотра ссылки Войдиили Зарегистрируйся для поддержки организации в Австралии, заражённой программой-вымогателем Money Message. Этот вектор атаки, известный своей скрытностью, не добавляет никаких расширений к зашифрованным данным, что затрудняет жертвам идентификацию зашифрованных файлов методом поиска таких расширений.
Рассмотренная специалистами Sophos атака началась со взлома учётной записи с однофакторной аутентификацией для доступа к корпоративному VPN . Затем злоумышленники отключили защиту Windows Defender с помощью групповой политики.
Далее они использовали утилиту «psexec», чтобы запустить скрипт для включения RDP и получить удалённый доступ к сети компании. После этого злоумышленникам удалось похитить hive-файл реестра SAM со всеми паролями при помощи специального скрипта на Python .
Злоумышленники получили доступ к финансовым данным, бухгалтерии, отчётам о продажах и кадровой информации компании. Затем данные были выведены через облачный сервис MegaSync . Для последующего шифрования использовались две версии вымогателя — для Windows и Linux.
Чтобы защититься от подобных атак, организациям необходимо внедрять MFA для VPN, следить за отключением защиты, ограничить доступ по RDP и усилить контроль над конфиденциальными данными. Также жизненно важно использовать EDR -решения.
В августе 2023 года группа реагирования на инциденты компании Sophos Для просмотра ссылки Войди
Рассмотренная специалистами Sophos атака началась со взлома учётной записи с однофакторной аутентификацией для доступа к корпоративному VPN . Затем злоумышленники отключили защиту Windows Defender с помощью групповой политики.
Далее они использовали утилиту «psexec», чтобы запустить скрипт для включения RDP и получить удалённый доступ к сети компании. После этого злоумышленникам удалось похитить hive-файл реестра SAM со всеми паролями при помощи специального скрипта на Python .
Злоумышленники получили доступ к финансовым данным, бухгалтерии, отчётам о продажах и кадровой информации компании. Затем данные были выведены через облачный сервис MegaSync . Для последующего шифрования использовались две версии вымогателя — для Windows и Linux.
Чтобы защититься от подобных атак, организациям необходимо внедрять MFA для VPN, следить за отключением защиты, ограничить доступ по RDP и усилить контроль над конфиденциальными данными. Также жизненно важно использовать EDR -решения.
- Источник новости
- www.securitylab.ru