Скрипт банды вымогателей показывает именно те файлы, которые им нужны

21
ФБР и CISA предупреждают о том, что государственные хакеры используют критическую ошибку Zoho

Сценарий PowerShell, используемый программой-вымогателем Pysa, дает нам возможность взглянуть на типы данных, которые они пытаются украсть во время кибератаки.

Когда банды вымогателей взламывают сеть, они обычно начинают с ограниченного доступа к одному устройству.

Затем они используют различные инструменты и эксплойты для кражи других учетных данных, используемых в домене Windows, или получения повышенных привилегий на разных устройствах.

Получив доступ к контроллеру домена Windows, они ищут и крадут данные в сети перед шифрованием устройств.

Злоумышленники используют украденные данные двумя способами.

Первый – создать спрос на выкуп, основанный на доходах компании и наличии у них страховых полисов. Второй – запугать жертв и заставить их заплатить выкуп, потому что банда утекнет данные.

Поиск ценных данных

Вчера команда MalwareHunterTeam поделилась сценарием PowerShell с BleepingComputer, используемым операцией вымогателя Pysa для поиска и эксфильтрации данных с сервера.

Этот сценарий разработан для сканирования каждого диска на предмет папок с данными, имена которых соответствуют определенным строкам на устройстве. Если папка соответствует критериям поиска, сценарий загрузит файлы папки на удаленный сервер перетаскивания под контролем злоумышленника.

Особый интерес представляют 123 ключевых слова, которые ищет сценарий, которые дают нам представление о том, что банда вымогателей считает ценным.

Как и следовало ожидать, сценарий ищет файлы, относящиеся к финансовой или личной информации компании, такие как аудит, банковская информация, учетные данные, налоговые формы, информация о студентах, номера социального страхования и документы SEC.

Однако он также ищет более интригующие ключевые слова, которые могут быть особенно вредными для компании в случае утечки, например папки, содержащие слова «преступление», «расследование», «мошенничество», «бюро», «федеральный», «скрытый», «секретный», «незаконный» и «террор».

Нет смысла изменять имена папок, поэтому они не включают эти строки, поскольку злоумышленники, скорее всего, будут выполнять ручную очистку данных.

Однако знание того, какие типы данных ищет банда вымогателей, дает вам лучшее представление о том, как банды вымогателей будут пытаться вымогать у своих жертв.

Pysa – не единственный, кто ищет определенные файлы после взлома сети.

Ранее в этом месяце разгневанный филиал Conti опубликовал обучающие материалы по работе с программой-вымогателем.

В этом учебном материале аффилированным лицам предлагалось немедленно искать данные, содержащие следующие ключевые слова, после того, как они получили контроль над контроллером домена Windows.

Это еще раз показывает, насколько важна кража данных для атаки программ-вымогателей и насколько важно обеспечить их адекватную защиту.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here