2 / 2 / 0
Регистрация: 28.04.2020
Сообщений: 4
1

REvil Ransomware поразил 200 компаний в результате атаки цепочки поставок MSP

03.07.2021, 09:48. Показов 324. Ответов 0
Метки нет (Все метки)

Массовая атака REvil затрагивает нескольких поставщиков управляемых услуг и их клиентов через атаку цепочки поставок Kaseya, о которой сообщается.

Начиная с полудня, REvil, также известная как Sodinokibi, нацелена на MSP с тысячами клиентов с помощью атаки на цепочку поставок Kaseya VSA.

В настоящее время существует восемь известных крупных поставщиков услуг мобильной связи, которые пострадали в результате этой атаки на цепочку поставок.

Kaseya VSA - это облачная платформа MSP, которая позволяет поставщикам выполнять управление исправлениями и мониторинг клиентов для своих клиентов.

Джон Хаммонд из Huntress Labs сообщил BleepingComputer, что все затронутые MSP используют Kaseya VSA и что у них есть доказательства того, что их клиенты также используют шифрование.

Атака REvil распространяется через автообновление

Как сообщили BleepingComputer атаки на MSP, по всей видимости, являются атакой на цепочку поставок через Kaseya VSA.

По словам Хаммонда, Kaseya VSA поместит файл agent.crt в папку c: \ kworking, которая распространяется как обновление под названием «Kaseya VSA Agent Hot-fix».

Затем запускается команда PowerShell для декодирования файла agent.crt с помощью допустимой команды Windows certutil.exe и извлечения файла agent.exe в ту же папку.

powershell-command.png

Agent.exe подписан с использованием сертификата от «PB03 TRANSPORT LTD» и включает встроенные файлы «MsMpEng.exe» и «mpsvc.dll», при этом DLL является шифровальщиком REvil.

MsMPEng.exe - это более старая версия законного исполняемого файла Microsoft Defender, используемого в качестве LOLBin для запуска DLL и шифрования устройства с помощью доверенного исполняемого файла.

Некоторые образцы добавляют ключи реестра Windows и изменения конфигурации зараженных компьютеров.

Например, образец [VirusTotal], установленный BleepingComputer, добавляет ключ HKLM \ SOFTWARE \ Wow6432Node \ BlackLivesMatter для хранения информации о конфигурации атаки.

Продвинутый специалист Intel Виталий Кремез сообщил BleepingComputer, что другой образец настраивает устройство для запуска REvil Safe Mode с паролем по умолчанию «DTrump4ever».

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoAdminLogon"="1"
"DefaultUserName"="[account_name]"
"DefaultPassword"="DTrump4ever"
IOC (SHA256):

agent.exe d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e 9f1e

mpsvc.dll (загруженная DLL) e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a546 6ea2

mpsvc.dll (загруженная DLL) 8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae7 59dd

MSP - важная цель для кибергрупп, поскольку они предлагают простой канал для заражения многих компаний посредством единственного взлома, однако атаки требуют глубоких знаний о MSP и используемом ими программном обеспечении.

REvil имеет аффилированное лицо, хорошо разбирающееся в технологиях, используемых MSP, поскольку у них есть долгая история нацеливания на эти компании и программное обеспечение, обычно используемое ими.

В июне 2019 года филиал REvil нацелился на MSP через удаленный рабочий стол, а затем использовал их программное обеспечение для управления, чтобы отправить установщиков программ-вымогателей на все конечные точки, которыми они управляют.

подробнее:

https://www.bleepingcomputer.c... in-attack/
__________________
Помощь в написании контрольных, курсовых и дипломных работ здесь
1
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
03.07.2021, 09:48
Ответы с готовыми решениями:

SP2 (3dsMax2016_SP2.msp) уже включает в себя SP1 (3dsMax2016_SP1.msp)?
У меня есть "Autodesk 3DS Max 2016 x64". А также выкачано два файла: 3dsMax2016_SP2.msp и...

Включить каждую в таблицу указателей на цепочки в алфавитном порядке первых 6-ти символов цепочки
Здравствуйте! Вот по этим заданиям требуется помощь! 2.Из входного потока читаются цепочки...

STL: найти все максимальные цепочки подряд идущих положительных чисел с указанием длины каждой цепочки
Создать массив длины N (число N вводится с клавиатуры). Заполнить массив рандомно. Найти все...

Вирус поразил все EXE-шники
Добрый час суток. Стоит ХР, SP3. Антивирусник Avira premium незарегистрованная (проще говоря не...

0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
03.07.2021, 09:48

Вирус поразил все файлы exe, не дает зайти в реестр
Доброе время суток! Вчера с сайта http://mirurokov.ru/video-uroki-matematika.html скачал ехе файл...

Стрельба по мишеням. Вероятность того, что мишень поразил 1-ый стрелок
Два стрелка сделали по одному выстрелу в мишень. Вероятность попадания первого стрелка равна 0.6,...

Найти вероятность того, что третий стрелок поразил мишень
Три стрелка произвели залп, причем 2 пули поразили мишень. Найти вероятность того, что третий...

Hola@all-ransomware.info
Добрый день! С сегодняшнего дня, у нас в компании все файлы в локальной сети зашифровались с...

Email-hola@all-ransomware
Доброго времени суток! Открыли письмо, полученное на почту. Запустили вложенный в него файл с...

Ransomware модуль пайтон
Разработать Ransomware-модуль, который бы осуществлял шифрования всех файлов в текущем каталоге (и...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
1
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.