Хакеры SnapMC пропускают шифрование файлов и просто крадут ваши файлы

18
Популярная библиотека NPM взломана для установки хищников паролей и майнеров

В сфере киберпреступности появился новый субъект, известный как SnapMC, который выполняет типичное вымогательство с кражей данных, лежащее в основе операций с программами-вымогателями, но без выполнения части шифрования файлов.

Шифрование файлов считается основным компонентом атак программ-вымогателей, поскольку именно он нарушает работу жертвы.

Кража данных с целью двойного вымогательства появилась позже как дополнительная форма воздействия на жертву, но всегда уступала место хаосу, вызванному зашифрованной сетью.

Вскоре злоумышленники осознали силу этого подхода, поскольку многие компании могли восстанавливать поврежденные файлы из резервных копий, но не могли отменить событие кражи файлов и его последствия.

Исследователи из NCC Group отслеживают нового противника, которого они называют SnapMC, названного в честь быстрого удара, которому следует группа, который проникает в сети, крадет файлы и рассылает электронные письма с вымогательством менее чем за 30 минут.

Устранение известных уязвимостей

Банда SnapMC использует сканер уязвимостей Acunetix, чтобы найти ряд недостатков в приложениях VPN и веб-сервера цели, а затем успешно использует их для взлома корпоративной сети.

Наиболее часто используемые недостатки, наблюдаемые при первоначальном доступе актора , включают PrintNightmare LPE , удаленное выполнение кода в пользовательском интерфейсе Telerik для ASPX.NET , а также различные возможности SQL-инъекций.

Актеры используют сценарии экспорта базы данных SQL для кражи данных, в то время как файлы CSV сжимаются с помощью архивной утилиты 7zip до эксфильтрации. Когда все аккуратно упаковано, клиент MinIO используется для отправки данных злоумышленнику.

Учитывая, что SnapMC использует известные уязвимости, которые уже были исправлены, обновление ваших программных инструментов было бы хорошим способом защиты от этой растущей угрозы.

Как указывается в отчете NCC Group , даже если организация использует уязвимую версию Telerik, размещение ее за хорошо настроенным брандмауэром веб-приложений сделает любые попытки эксплуатации бесполезными.

Платить рискованно

В атаках с вымогательством кражи данных выполнение требований злоумышленника путем оплаты программы-вымогателя ничего не гарантирует. Напротив, это может дать хакерам стимул для дальнейших попыток вымогательства в будущем.

Также возможно, что даже если жертва заплатит выкуп, ее данные могут быть проданы на криминальных рынках или хакерских форумах в качестве дополнительного способа получения доходов для злоумышленников.

Фирма Coveware, занимающаяся переговорами о программах-вымогателях, настоятельно рекомендует своим клиентам никогда не платить выкуп, чтобы украденные файлы не стали достоянием общественности.

В прошлом во время переговоров жертвы платили выкуп, и их данные все равно просочились, или доказательства удаления не были предоставлены.

  • Sodinokibi: Жертвы, которые заплатили, были повторно вытеснены через несколько недель с угрозами опубликовать тот же набор данных.
  • Netwalker: данные о компаниях, которые заплатили за это, были опубликованы, чтобы не допустить утечки
  • Меспиноза: опубликованные данные о компаниях, которые заплатили за это, не просочились
  • Conti: поддельные файлы отображаются как доказательство удаления

Из-за этого жертвы должны автоматически предполагать, что их данные были переданы другим злоумышленникам и что они будут использоваться или утечка в будущем, независимо от того, заплатили ли они выкуп.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here