Новости Money Message: скрытый гость в корпоративных сетях Австралии

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Финансы, бухгалтерия и отчёты отправляются хакерам, а затем надёжно шифруются.


h6o1voz7952onr60pgvpt4t90jbquhrx.jpg


В августе 2023 года группа реагирования на инциденты компании Sophos Для просмотра ссылки Войди или Зарегистрируйся для поддержки организации в Австралии, заражённой программой-вымогателем Money Message. Этот вектор атаки, известный своей скрытностью, не добавляет никаких расширений к зашифрованным данным, что затрудняет жертвам идентификацию зашифрованных файлов методом поиска таких расширений.

Рассмотренная специалистами Sophos атака началась со взлома учётной записи с однофакторной аутентификацией для доступа к корпоративному VPN . Затем злоумышленники отключили защиту Windows Defender с помощью групповой политики.

Далее они использовали утилиту «psexec», чтобы запустить скрипт для включения RDP и получить удалённый доступ к сети компании. После этого злоумышленникам удалось похитить hive-файл реестра SAM со всеми паролями при помощи специального скрипта на Python .

Злоумышленники получили доступ к финансовым данным, бухгалтерии, отчётам о продажах и кадровой информации компании. Затем данные были выведены через облачный сервис MegaSync . Для последующего шифрования использовались две версии вымогателя — для Windows и Linux.

Чтобы защититься от подобных атак, организациям необходимо внедрять MFA для VPN, следить за отключением защиты, ограничить доступ по RDP и усилить контроль над конфиденциальными данными. Также жизненно важно использовать EDR -решения.
 
Источник новости
www.securitylab.ru

Похожие темы