BlackByte Ransomware IOCs - Part 3

ransomware IOC

Отчеты NccGroup связывают программу Everest ransomware с семейством Everbe 2.0, в которое входят программы Embrace, PainLocker, EvilLocker и Hyena Locker ransomware. Однако после восстановления и анализа файла Everest ransomware компания NccGroup со средней степенью уверенности считает, что Everest ransomware связана с Black-Byte.

BlackByte Ransomware

В целом, NccGroup выявила следующие основные ТТП для Everest ransomware:

  • Боковое перемещение через протокол удаленного рабочего стола (RDP).
  • Сбор внутренних IP-адресов для хостов в сети
  • Локальные дампы LSASS
  • дампы NTDS.dit
  • Установка средств удаленного доступа

Действия Everest по достижению целей, похоже, сосредоточены на утечке конфиденциальной информации, а также на шифровании.

Indicators of Compromise

IPv4

  • 18.193.71.144
  • 3.22.79.23
  • 45.84.0.164

IPv4 Port Combinations

  • 18.193.71.144:10443
  • 3.22.79.23:10443
  • 3.22.79.23:8080
  • 45.84.0.164:10443

URLs

  • http://18.193.71.144:10443/match
  • http://3.22.79.23:10443/ga.js
  • http://3.22.79.23:8080/
  • http://3.22.79.23:8080/a
  • http://45.84.0.164:10443/o6mJ
SEC-1275-1
Добавить комментарий