Aktualności

Irańska grupa zajmująca się cyberprzestępczością Phosphorus prowadzi kampanię oprogramowania ransomware w celu osiągnięcia osobistych korzyści – ujawnili badacze Microsoftu.

Podgrupa nazwana Nemesis Kitten i śledzona jako DEV-0270 prowadzi kilka złośliwych operacji, w tym szeroko zakrojone skanowanie podatności, w imieniu rządu irańskiego.

Ze względu na charakter ataków, z których większość „nie miała strategicznej wartości dla reżimu”, nowo obserwowana kampania może nie być koordynowana przez rząd i zamiast tego jest prowadzona dla osobistych korzyści członków gangu.

Sposób przeprowadzania ataku

Przestępcy próbowali uzyskać dostęp przez różne znane luki w zabezpieczeniach, takie jak Exchange, Fortinet i Log4j 2. Po naruszeniu docelowego urządzenia lub sieci atakujący dokonywali wykrywania środowiska i kradzieży poświadczeń, uzyskiwali trwałość, eskalowali uprawnienia i wdrażali techniki wymijające aby uniknąć wykrycia.

Ataki DEV-0270 często włączają szyfrowanie funkcją BitLocker za pomocą poleceń setup.bat, czyniąc urządzenie hosta bezużytecznym. Grupa hakerów wdraża DiskCryptor, narzędzie szyfrujące typu open source, na zhakowanych urządzeniach z systemem Windows za pośrednictwem protokołu RDP. Po uruchomieniu narzędzie zaczyna szyfrować cały dysk urządzenia i blokuje ofiarę ze stacji roboczej.

Wskazówki ekspertów

Poniżej szereg wskazówek dotyczących łagodzenia skutków, które mają odstraszyć techniki specyficzne dla DEV-0270:

• Nadaj priorytet łataniu serwerów Exchange z dostępem do Internetu,
• Zastosuj aktualizacje i poprawki zabezpieczeń, gdy tylko staną się dostępne,
• Użyj zapory, aby uniemożliwić komunikację RPC i SMB,
• Egzekwuj silne zasady haseł administratora,
• Upewnij się, że Twoje oprogramowanie antywirusowe jest aktualne,
• Twórz kopie zapasowe danych, aby zapobiec uszkodzeniom spowodowanym destrukcyjnymi atakami.

Źródło: www.bitdefender.pl

W razie dodatkowych pytań zapraszamy do kontaktu.