Главная страница » IOC
0
4 месяца
IOC

Облачные вымогатели в 2024 году

security

По данным SentinelOne, атаки на облачные выкупы все чаще направлены на облачные сервисы хранения данных, такие как Amazon S3 и Azure Blob Storage.

Описание

Злоумышленники обычно получают доступ к этим сервисам с помощью неправильной конфигурации или действительных учетных данных, копируют файлы в контролируемое ими место, а затем шифруют или удаляют исходные файлы. Служба управления ключами (KMS) AWS предоставляет 7-дневное окно для восстановления после таких атак, однако появляются новые методы, позволяющие обойти эти средства контроля. Например, атаки с использованием управляемых клиентом ключей (CMK) и внешних хранилищ ключей (XKS) могут затруднить восстановление данных без ключа дешифрования, контролируемого злоумышленником. Группы Ransomware также используют облачные сервисы для утечки данных перед шифрованием локальных файлов.

Например, группы BianLian и Rhysida использовали Azure Storage Explorer для эксфильтрации. Был обнаружен скрипт на языке Python под названием RansomES, предназначенный для запуска на системах Windows и передачи файлов на S3 или FTP перед шифрованием, хотя он, по-видимому, является исследовательским инструментом, а не используется в активных атаках. Веб-приложения, размещенные в «облаке», также уязвимы для атак с целью получения выкупа. SentinelLabs обнаружила несколько скриптов выкупа, нацеленных на PHP-приложения, включая скрипт Python под названием Pandora, который шифрует файлы с помощью AES, и PHP-бэкдор, приписываемый группе IndoSec, который шифрует файлы через удаленный сервис. Группа вымогателей Cl0p использовала уязвимость SQL-инъекции в приложении MoveIT компании Progress Software для защиты файлов в блоб-хранилище Azure.

Indicators of Compromise

URLs

  • http://encrypt.indsc.me/api.php?type=encrypt

SHA1

  • 2139d0e1e618b61b017d62cb8806929560ded9a7
  • 371ffe7849f9354e62919c203ed8f2e80b741622
  • 57566050459d210263f3184d72c48a6b298c187b
  • 785beb4b83c906dba3d336c4cbd0f442b0cbaf90
  • 7bcffb6828915ae194e04739ebd12f57723a703b
  • 9065e945947c939f55fbdf102a834f4ac5d87457
  • bb37e7565afae3f90258ec2664f4da49f5eec213
Комментарии: 0
Похожие записи
0
2 месяца
IOC

HellCat и Morpheus - Два бренда, одна полезная нагрузка: филиалы Ransomware выпускают идентичный код

ransomware
За последние шесть месяцев наблюдалась активность новых и появляющихся операций с вымогательским ПО. Группы, такие как FunkSec, Nitrogen, Termite, Cl0p и новая версия LockBit 4.
0
2 месяца
IOC

RustyAttr Malware IOCs

security
Исследователи из Group-IB обнаружили подозрительную программу, связанную с КНДР, которая скрывает вредоносный код в расширенных атрибутах.
0
2 месяца
IOC

CloudFake Malware IOCs

security
Разработчики вредоносного ПО CloudFake начали использовать среду разработки Tauri, которая призвана устранить недостатки Electron.