Размещено 27.12.2019 15:17:25
[SIZE=14pt]ФБР выдает предупреждение по LockerGoga и MegaCortex Ransomware[/SIZE]
ФБР предупреждает частную индустрию о двух заражениях вымогателями и о том, как они атакуют сеть.
«С января 2019 года LockerGoga Ransomware предназначался для крупных корпораций и организаций в Соединенных Штатах, Великобритании, Франции, Норвегии и Нидерландах. MegaCortex Ransomware, впервые идентифицированный в мае 2019 года, аналогичен LockerGoga. "
Согласно предупреждению, участники LockerGoga и MegaCortex закрепятся в корпоративной сети, используя эксплойты, фишинговые атаки, инъекции SQL и украденные учетные данные для входа.
Как только сеть взломана, субъекты угроз установят инструмент тестирования на проникновение под названием Cobalt Strike. Этот инструмент позволяет злоумышленникам развертывать «маяки» на скомпрометированном устройстве для «создания оболочек, выполнения сценариев PowerShell, повышения привилегий или запуска нового сеанса для создания прослушивания в системе жертвы».
Когда сеть подвергается атаке, субъекты будут находиться в сети в течение нескольких месяцев, прежде чем развернуть заражение вымогателями LockerGoga или MegaCortex.
злоумышленники в этот период, вероятно, извлекают данные, внедряют трояны, крадущие информацию, и еще больше компрометируют рабочие станции и серверы.
После того, как в сети будет собрано что-то ценное, злоумышленники развернут заражение LockerGoga или MegaCortex, чтобы начать шифрование устройств в сети. Это создаст окончательный источник дохода для злоумышленников.
Во время развертывания субъекты выполняют пакетный файл kill.bat или stop.bat, который завершает процессы и службы, связанные с программами безопасности, отключает функции сканирования Защитника Windows и отключает службы, связанные с безопасностью.
Участники угрозы также будут использовать различные LOLBins и законное программное обеспечение, такое как
7-Zip, сценарии PowerShell, wmic, nslookup, adfind.exe, mstds.exe, Mimikatz, Ntsdutil.exe и massscan.exe.
К сожалению, оба из этих вымогателей используют безопасный алгоритм шифрования, что означает, что невозможно дешифровать их бесплатно.
ФБР рекомендует меры предупреждения
ФБР предлагает рекомендации по предупреждению последствий, которые владельцы бизнеса должны использовать, чтобы минимизировать свой риск для вымогателей LockerGoga и MegaCortex.
[QUOTE] - Самое важное предупреждение состоит в том, чтобы вы «регулярно делали резервные копии данных, сохраняли резервные копии в автономном режиме и проверяли целостность процесса резервного копирования».
Имея работающие и проверенные резервные копии, особенно автономные, вымогатели не представляют большой угрозы, так как вы всегда можете восстановить свои данные.
Другие меры по предупреждению включают в себя:
- Убедитесь, что все установленное программное обеспечение и операционные системы постоянно обновляются. Это помогает предотвратить использование уязвимостей злоумышленниками.
- Включите двухфакторную аутентификацию (2fa) и надежные пароли, чтобы блокировать фишинговые атаки, украденные учетные данные или другие компрометации при входе в систему.
- Поскольку общедоступные серверы удаленных рабочих столов являются обычным способом для злоумышленников сначала получить доступ к сети, предприятиям следует проводить аудит журналов для всех протоколов удаленного подключения.
- Аудит создания новых учетных записей.
- Сканирование открытых или прослушивающих портов в сети и блокирование их доступности.
- Отключите SMBv1, поскольку в протоколе существует множество уязвимостей и слабостей.
- Отслеживайте изменения в Active Directory и группе администраторов организации для неавторизованных пользователей.
- Убедитесь, что вы используете самую последнюю версию PowerShell, и удалите все старые версии.
- «Включить ведение журнала PowerShell и отслеживать необычные команды, особенно выполнение PowerShell в кодировке Base64»[/QUOTE]
Это руководство является достаточно общим, что оно применимо ко всем инфекциям-вымогателям и должно соблюдаться всеми организациями и даже потребителями.
https://www.bleepingcomputer.com/news/security/fbi-issues-alert-for-lockergoga-and-megacortex-ransomware/
ФБР предупреждает частную индустрию о двух заражениях вымогателями и о том, как они атакуют сеть.
«С января 2019 года LockerGoga Ransomware предназначался для крупных корпораций и организаций в Соединенных Штатах, Великобритании, Франции, Норвегии и Нидерландах. MegaCortex Ransomware, впервые идентифицированный в мае 2019 года, аналогичен LockerGoga. "
Согласно предупреждению, участники LockerGoga и MegaCortex закрепятся в корпоративной сети, используя эксплойты, фишинговые атаки, инъекции SQL и украденные учетные данные для входа.
Как только сеть взломана, субъекты угроз установят инструмент тестирования на проникновение под названием Cobalt Strike. Этот инструмент позволяет злоумышленникам развертывать «маяки» на скомпрометированном устройстве для «создания оболочек, выполнения сценариев PowerShell, повышения привилегий или запуска нового сеанса для создания прослушивания в системе жертвы».
Когда сеть подвергается атаке, субъекты будут находиться в сети в течение нескольких месяцев, прежде чем развернуть заражение вымогателями LockerGoga или MegaCortex.
злоумышленники в этот период, вероятно, извлекают данные, внедряют трояны, крадущие информацию, и еще больше компрометируют рабочие станции и серверы.
После того, как в сети будет собрано что-то ценное, злоумышленники развернут заражение LockerGoga или MegaCortex, чтобы начать шифрование устройств в сети. Это создаст окончательный источник дохода для злоумышленников.
Во время развертывания субъекты выполняют пакетный файл kill.bat или stop.bat, который завершает процессы и службы, связанные с программами безопасности, отключает функции сканирования Защитника Windows и отключает службы, связанные с безопасностью.
Участники угрозы также будут использовать различные LOLBins и законное программное обеспечение, такое как
7-Zip, сценарии PowerShell, wmic, nslookup, adfind.exe, mstds.exe, Mimikatz, Ntsdutil.exe и massscan.exe.
К сожалению, оба из этих вымогателей используют безопасный алгоритм шифрования, что означает, что невозможно дешифровать их бесплатно.
ФБР рекомендует меры предупреждения
ФБР предлагает рекомендации по предупреждению последствий, которые владельцы бизнеса должны использовать, чтобы минимизировать свой риск для вымогателей LockerGoga и MegaCortex.
[QUOTE] - Самое важное предупреждение состоит в том, чтобы вы «регулярно делали резервные копии данных, сохраняли резервные копии в автономном режиме и проверяли целостность процесса резервного копирования».
Имея работающие и проверенные резервные копии, особенно автономные, вымогатели не представляют большой угрозы, так как вы всегда можете восстановить свои данные.
Другие меры по предупреждению включают в себя:
- Убедитесь, что все установленное программное обеспечение и операционные системы постоянно обновляются. Это помогает предотвратить использование уязвимостей злоумышленниками.
- Включите двухфакторную аутентификацию (2fa) и надежные пароли, чтобы блокировать фишинговые атаки, украденные учетные данные или другие компрометации при входе в систему.
- Поскольку общедоступные серверы удаленных рабочих столов являются обычным способом для злоумышленников сначала получить доступ к сети, предприятиям следует проводить аудит журналов для всех протоколов удаленного подключения.
- Аудит создания новых учетных записей.
- Сканирование открытых или прослушивающих портов в сети и блокирование их доступности.
- Отключите SMBv1, поскольку в протоколе существует множество уязвимостей и слабостей.
- Отслеживайте изменения в Active Directory и группе администраторов организации для неавторизованных пользователей.
- Убедитесь, что вы используете самую последнюю версию PowerShell, и удалите все старые версии.
- «Включить ведение журнала PowerShell и отслеживать необычные команды, особенно выполнение PowerShell в кодировке Base64»[/QUOTE]
Это руководство является достаточно общим, что оно применимо ко всем инфекциям-вымогателям и должно соблюдаться всеми организациями и даже потребителями.
https://www.bleepingcomputer.com/news/security/fbi-issues-alert-for-lockergoga-and-megacortex-ransomware/