Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Ransomware „LeakNet“ išpirkos reikalaujanti programa

„LeakNet“ išpirkos reikalaujanti programa

Autorius Mezo, Ransomware, Išplėstinė nuolatinė grėsmė (APT)
Versti į:

Išpirkos reikalaujančios programinės įrangos operacija „LeakNet“ pastebimai pakeitė įsilaužimo taktiką, pasitelkdama „ClickFix“ socialinės inžinerijos techniką kaip pagrindinį įsilaužimo vektorių. Šis metodas manipuliuoja vartotojais, kad šie vykdytų kenkėjiškas komandas, prisidengdami sufabrikuotų sistemos klaidų taisymu. Skirtingai nuo tradicinių prieigos metodų, tokių kaip pavogtų prisijungimo duomenų pirkimas iš pradinės prieigos tarpininkų, ši taktika tiesiogiai išnaudoja vartotojų pasitikėjimą ir įprastą elgesį.

Pažeistos, bet kitaip teisėtos svetainės panaudojamos kaip ginklas, siekiant pateikti netikrus CAPTCHA patvirtinimo raginimus. Šie raginimai nurodo vartotojams nukopijuoti ir vykdyti kenkėjišką msiexec.exe komandą per „Windows“ vykdymo dialogo langą. Kadangi sąveika imituoja kasdienę sistemos veiklą, ataka atrodo įprasta ir nesukelia tiesioginio įtarimo. Ši plati, oportunistinė strategija leidžia taikytis į kelias pramonės šakas be diskriminacijos.

Strateginis pokytis: nepriklausomumas nuo pradinės prieigos tarpininkų

„LeakNet“ perėjimas prie „ClickFix“ yra apskaičiuotas veiklos pokytis. Atsisakydama priklausomybės nuo trečiųjų šalių prieigos duomenų tiekėjų, grupė sumažina su prieigos gavimu susijusias išlaidas ir vėlavimą. Ši nepriklausomybė pašalina pagrindinę kliūtį, leidžiančią kampanijas plėsti greičiau ir efektyviau.

Be to, naudojant pažeistą teisėtą infrastruktūrą, o ne užpuoliko kontroliuojamas sistemas, žymiai sumažėja aptinkamų tinklo indikatorių skaičius. Dėl to tradicinės perimetro pagrindu veikiančios apsaugos priemonės tampa mažiau veiksmingos, nes kenkėjiška veikla sklandžiai susilieja su patikimu srautu.

Failų neturintis vykdymas: Deno pagrindu veikiantis krautuvas

Šių atakų esminis techninis bruožas yra etapinio „Command-and-Control“ įkroviklio, sukurto „Deno JavaScript“ vykdymo aplinkoje, diegimas. Šis įkroviklis vykdo „Base64“ užkoduotą „JavaScript“ kodą tiesiai atmintyje, išvengdamas įrašymo į diską ir sumažindamas teismo ekspertizės artefaktus.

Kai krautuvas yra aktyvus, jis atlieka keletą svarbių funkcijų:

  • Sukuria pažeistos sistemos profilį, kad surinktų aplinkosaugos informaciją
  • Užmezga ryšį su išoriniu serveriu, kad gautų antrinius naudinguosius krovinius
  • Palaiko pastovumą per apklausos mechanizmą, kuris nuolat nuskaito ir vykdo papildomą kodą

Šis failų neturintis vykdymo modelis pagerina slaptumą ir apsunkina aptikimo pastangas naudojant tradicines saugumo priemones.

Nuoseklus post-exploatacijos veiksmų planas

Nepaisant pradinės prieigos skirtumų, „LeakNet“ operacijos po pažeidimo susilieja į nuspėjamą darbo eigą. Šis nuoseklumas suteikia gynėjams vertingų galimybių aptikti ir sutrikdyti atakas prieš diegiant išpirkos reikalaujančias programas.

Įprasta atakų seka apima:

  • DLL šoninis įkėlimas, siekiant vykdyti įkroviklio pateiktas kenkėjiškas bibliotekas
  • Šoninis judėjimas naudojant tokius įrankius kaip „PsExec“, siekiant išplėsti prieigą prie tinklo
  • Kredencialų paieška naudojant cmd.exe /c klist, siekiant nustatyti aktyvius autentifikavimo seansus
  • Duomenų išdėstymas ir ištraukimas per S3 segmentus, maskuojant veiklą kaip teisėtą debesies srautą
  • Paskutinis šifravimo etapas, skirtas išpirkos reikalaujančios programinės įrangos diegimui

Naudojant vietinius „Windows“ įrankius ir įprastas debesijos paslaugas, kenkėjiški veiksmai gali įsilieti į įprastą sistemos ir tinklo veikimą.

Grėsmių profilis: kilmė ir taikinių taikymo sritis

Atsiradusi 2024 m. lapkritį, „LeakNet“ iš pradžių save pozicionavo kaip „skaitmeninę stebėtoją“, propaguojančią skaidrumo ir interneto laisvės temas. Tačiau stebima veikla atskleidžia platesnį ir agresyvesnį veiklos mastą, įskaitant išpuolius prieš pramonės organizacijas.

Kampanijos nekritiška taikinio strategija kartu su keičiamo mastelio užkrėtimo metodais pabrėžia jos siekį maksimaliai padidinti pasiekiamumą, o ne sutelkti dėmesį į konkrečius sektorius.

Gynybinės implikacijos: nuspėjamumas kaip pranašumas

Nors „LeakNet“ įsilaužimo metodai vystėsi, jos priklausomybė nuo pasikartojančios išnaudojimo grandinės sukuria kritinį silpnumą. Kiekvienas atakos etapas – nuo vykdymo iki judėjimo horizontaliai ir duomenų nutekėjimo – atitinka atpažįstamus elgesio modelius.

Šis nuoseklumas leidžia gynėjams:

  • Aptikti anomalų teisėtų sistemos įrankių naudojimą
  • Stebėkite neįprastus vykdymo atmintyje modelius
  • Įtartinų debesies saugyklos sąveikų nustatymas
  • Nutraukti atakos progresą prieš įvykstant šifravimui

Pagrindinė išvada aiški: nors pradiniai prieigos metodai gali skirtis, pagrindinis veiklos planas išlieka stabilus, suteikiantis daug galimybių ankstyvam aptikimui ir reagavimui.


Tendencijos

Kenkėjiški el. laiškai apie viešbučio kambario...

Šlamštas, Kenkėjiška programa
Šiandienos grėsmių aplinkoje labai svarbu išlikti budriems tvarkant netikėtus el. laiškus. Kibernetiniai nusikaltėliai dažnai maskuoja kenkėjiškas žinutes kaip teisėtą susirašinėjimą, kad manipuliuotų gavėjais ir priverstų juos imtis žalingų veiksmų. Vadinamieji „viešbučio kambario atnaujinimo“ el. laiškai yra aiškus šios taktikos pavyzdys. Šie pranešimai nėra susiję su jokiais teisėtais...

Sukčiai el. paštu sukčiaujama atnaujinant „Ledger“...

Sukčiavimas, Šlamštas
Šiandieninėje grėsmių aplinkoje labai svarbu išlikti atsargiems gaunant netikėtus el. laiškus, ypač kai tai susiję su skaitmeniniu turtu. Kibernetiniai nusikaltėliai dažnai apsimetinėja patikimais prekių ženklais, kad sukurtų klaidingą skubos ir teisėtumo įspūdį. El. laiškai „Atnaujinkite savo knygos programinę įrangą“ yra tokios schemos dalis ir nėra susiję su jokiomis teisėtomis įmonėmis,...

Labiausiai žiūrima

Įkeliama...