Компания Cisco Talos обнаружила злоумышленника, действующего с 2022 года и имеющего финансовую мотивацию, который недавно развернул вариант вымогательского ПО MedusaLocker, известный как «BabyLockerKZ».
BabyLockerKZ APT
Эта группа атаковала организации по всему миру, уделяя особое внимание Европе до середины 2023 года, после чего перенесла свои атаки на Южную Америку. Вариант выкупного ПО BabyLockerKZ отличается уникальными особенностями, включая специфические PDB-пути и инструменты атаки, постоянно хранящиеся в одних и тех же системных местах.
В основном злоумышленник использует общедоступные инструменты, такие как Mimikatz и сетевые сканеры, а также «Checker», который облегчает кражу учетных данных и боковое перемещение во взломанных сетях. Этот набор инструментов помогает агенту автоматизировать процесс атаки, предлагая графический интерфейс для упрощения операций.
BabyLockerKZ имеет некоторые отличительные особенности от традиционного MedusaLocker, такие как уникальные ключи реестра и дополнительные механизмы шифрования.
Телеметрия Cisco Talos показывает, что объем атак группы значительно увеличился в начале 2023 года: до 200 скомпрометированных IP-адресов в месяц, после чего активность начала снижаться в 2024 году. По мнению компании, агрессивная тактика и постоянный объем атак позволяют предположить, что это профессиональная операция, возможно, связанная с брокером первоначального доступа (IAB) или филиалом по разработке выкупного ПО.
Indicators of Compromise
SHA256
- 012657c4548d9c98223caa4cc7aa52fc083d6983d42fde16ca3271412e7fe3fe
- 1e9246e6a35731143368eaa0ade4f3cf576d6b22e6090152f6e94f1fa3070651
- 1f2df15442593b159e45d16a27e4d43d3a9062da212a588ba4c048f214a0b7be
- 270c3354b3ee2940b499e365eaba143fba9d458f434dc38e663dc0f08e96121e
- 2eddfe711c32ef1668e14a10d00452c83c29e394e17c41f491550a1583c1bcac
- 33a8024395c56fab4564b9baef1645e505e00b0b36bff6fad3aedb666022599a
- 364f1b7466d8e4c9f55294ecf1f874c763bcf980c59b0250c613ac366def6aca
- 48046fb0e566f5a2d184f84b76d6cadc458762556daed0ae4a3a1200afbefb54
- 5d5d639fdfbf632bb7d9f1bb28731217d09d36078ab5e594baf2a5a41267a5d2
- 63eb3d2886d9cb880c9b0d54b94f3e149b3b5b6215a33a0ef63588a09dcd4499
- 6ae3a58a78be9c606009c657de4e390538b21ad951e62b6f4d31138e1a75732c
- 759b96f44806578cc0836a3a2bf11c8bc553effac72f8d28b94aec78b66be906
- 8bc455e5de35290f8a94376357947bd72aaf6f4d452c25a8ef444e037ef76b9f
- 8edbb1944d94ff91ee917c31590b6d1d5690a52fc153e44355ee9749aa0f4625
- 9f066975f1e02b29c7c635280f405c59704ce4f4e06b04e9ac8a7eac22acd3c7
- b8c994e3ed7dcc9080916119ddc315533c129479f508676d7544b82b2e24745f
- c0c726a23111c220d022fcd01a85f9788249e42baece03f83b6059170453b801
- d00f7cf6af68ba832b9d364f28411346cfe66fd3b1f5bcac318766add29ff7f0
- dc4840a0992b218cbedd5a7ac5c711cb98f1f9e78a8ffdea37c694061dfd34c6
