Подробно о том откуда берутся на компьютере трояны, вымогатели и другие вирусы ☠

В настоящее время банды вымогателей применяют многоуровневое партнерство для обхода операций по борьбе с киберпреступностью. Так называемые «посредники первичного доступа», действуют как цепочка поставок для преступного подполья, предоставляя бандам вымогателей (и другим) доступ к большим массивам скомпрометированных систем.

Эти маклеры первичного доступа являются важной частью киберпреступности. Сегодня три типа посредничества являются источниками большинства атак программ-вымогателей:

🚩 Продавцы скомпрометированных конечных точек RDP: банды киберпреступников в настоящее время проводят атаки методом грубой силы на рабочие станции или серверы, настроенные для удаленного доступа по RDP, которые также остались открытыми в Интернете со слабыми учетными данными. Эти системы позже продаются в так называемых «магазинах RDP», откуда банды вымогателей часто выбирают системы, которые, по их мнению, могут быть расположены внутри сети важной цели.

🚩 Продавцы взломанных сетевых устройств: банды киберпреступников также используют эксплойты для широко известных уязвимостей, чтобы получить контроль над сетевым оборудованием компании, таким как серверы VPN, межсетевые экраны или другие периферийные устройства. Доступ к этим устройствам и внутренним сетям, которые они защищают / подключаются, продается на хакерских форумах или "под заказ" бандам вымогателей.

🚩 Продавцы компьютеров, уже зараженных вредоносным ПО: многие современные вредоносные бот-сети часто прочесывают зараженные компьютеры в поисках систем в корпоративных сетях, а затем продают доступ к этим ценным системам другим киберпреступникам, в том числе бандам вымогателей.

Защита от этих трех типов начального доступа часто является самым простым способом избежать программ-вымогателей.

Однако, хотя защита от первых двух обычно включает в себя применение правильных политик паролей и обновление оборудования, от третьего вектора защитить труднее. Здесь нужна только чистая переустановка системы.

Связанные статьи:

В этой статье рассматриваются известные штаммы вредоносных программ, которые использовались за последние два года для установки программ-вымогателей.

Приведенный ниже список, составленный с помощью исследователей безопасности из Advanced Intelligence, Binary Defense и Sophos, должен послужить оповещением для любой организации.
При обнаружении любого из этих распространителей вредоносного ПО системные администраторы должны удалить все, отключить системы, провести аудит и удалить вредоносные программы в качестве первоочередной задачи.

Список ботнетов
Список ботнетов
Список ботнетов

Список ботнетов, с которыми может быть установлены программы вымогатели

Emotet
Emotet
Emotet

🚩 Emotet считается крупнейшим вредоносным ботнетом на сегодняшний день.

Доказано несколько случаев, когда Emotet распространялся бандами вымогателей напрямую, но многие случаи заражения Ransomware происходят в момент активации нового оборудования уже заражённого Emotet.

Обычно Emotet продавал доступ к своим зараженным системам другим поставщикам вредоносных программ, которые позже продавали свой доступ бандам вымогателей.

Сегодня наиболее распространенная цепочка заражения программ-вымогателей, связанная с Emotet, такова: Emotet — Trickbot — Ryuk.

Trickbot
Trickbot
Trickbot

🚩 Trickbot - это вредоносный ботнет и киберпреступление, похожее на Emotet. Trickbot заражает своих собственных жертв, но как известно, покупает доступ к системам, зараженным Emotet, чтобы увеличить свою численность.

За последние два года исследователи безопасности видели, как Trickbot продавал доступ к своим системам бандам киберпреступников, которые позже развернули Ryuk, а затем и программу-вымогатель Conti.

BazarLoader
BazarLoader
BazarLoader

🚩 BazarLoader в настоящее время считается модульным бэкдором, разработанным группой отделившейся от основной банды Trickbot. В любом случае, независимо от того, как они возникли, группа следует стратегии Trickbt и уже сотрудничает с бандами вымогателей, чтобы обеспечить доступ к системам, которые они заражают.

В настоящее время BazarLoader рассматривается как источник заражения программой-вымогателем Ryuk.

QakBot
QakBot
QakBot

🚩 QakBot, Pinkslipbot, Qbot или Quakbot иногда упоминаются сообществами информационных технологий как «медленный» Emotet, потому что он делает то же, что и Emotet, но через несколько месяцев спустя.

Поскольку банда Emotet позволяет использовать свои системы для развертывания программ-вымогателей, QakBot также недавно стал партнером различных банд вымогателей. Сначала с MegaCortex, затем с ProLock, а в настоящее время с бандой вымогателей Egregor.

SDBBot
SDBBot
SDBBot

🚩 SDBBot - это штамм вредоносного ПО, которым управляет группа киберпреступников, известная как TA505.

Это не самый распространенный штамм вредоносного ПО, но он является источником инцидентов, связанных с развертыванием вымогателя Clop.

Dridex
Dridex
Dridex

🚩 Dridex - еще одна банда банковских троянцев , реорганизованная в «загрузчик вредоносных программ», следуя примеру Emotet и Trickbot в 2017 году.

Если в прошлом ботнет Dridex использовали спам-кампании для распространения программы-вымогателя Locky среди случайных пользователей в Интернете, в последние несколько лет они ещё используют зараженные компьютеры, чтобы сбрасывать штаммы вымогателей BitPaymer или DoppelPaymer для целенаправленных атак против конкретной цели.

Zloader
Zloader
Zloader

🚩 Опоздавшая в бизнес «установить вымогателей», Zloader быстро развивается и уже установил партнерские отношения с операторами штаммов вымогателей Egregor и Ryuk.

Если есть одна вредоносная операция, которая может расширяться и имеет связи, то это она.

Buer Loader
Buer Loader
Buer Loader

🚩 Buer, или Buer Loader, - это вредоносная программа, которая была запущена в конце прошлого года, но уже завоевала зловещую репутацию и связи среди киберпреступников, и продолжает сотрудничать с группами вымогателей.

Некоторые инциденты, в которых был обнаружен вымогатель Ryuk, были связаны с активностью Buer.

Phorpiex
Phorpiex
Phorpiex

🚩 Phorpiex, или Trik, - один из небольших вредоносных ботнетов, но не менее опасный.

Атаки программы-вымогателя Avaddon, обнаруженные в 2020 году, были связаны с Phorpiex. Хотя ни Аваддон, ни Форпикс не являются общими именами, к ним следует относиться с таким же вниманием, как к Эмотетам, Трикботам и прочим.

CobaltStrike
CobaltStrike
CobaltStrike

🚩 CobaltStrike не является вредоносным ботнетом. На самом деле это инструмент тестирования на проникновение, разработанный для исследователей кибербезопасности, которым также часто злоупотребляют поставщики вредоносных программ.

Компании не «заражаются» посредством CobaltStrike. Однако многие банды вымогателей развертывают компоненты CobaltStrike как часть своих вторжений.

Инструмент часто используется как способ управления несколькими системами внутри внутренней сети и как предвестник реальной атаки вымогателей.

Если вы видите это в своей сети и не проводите в этот момент тест на проникновение, остановите все, что вы делаете, отключите системы и проведите аудит всего на предмет точки входа для атаки.

Есть что сказать об этой статье? Прокомментируйте ниже или поделитесь

★карта канала★ * ˛ • • НачинающƎму • ˚ ˚ • ˚ ˚ ˚ ˚ 。* ★2020★ •