Главная страница » IOC
0
4 месяца
IOC

Embargo Ransomware IOCs - Part 2

ransomware

Исследователи из ESET обнаружили новую группу вымогателей под названием Embargo, которая атакует американские компании с июля 2024 года с помощью набора инструментов на основе Rust, включающего загрузчик MDeployer и убийцу EDR MS4Killer.

Embargo Ransomware

Embargo работает как поставщик услуг Ransomware as a Service (RaaS), применяя тактику двойного вымогательства и публикуя украденные данные на своем сайте утечки. Инструментарий группы находится в стадии активной разработки, что свидетельствует о постоянном тестировании, доработке и корректировке «на лету» во время вторжений.
MDeployer проверяет наличие привилегий администратора и, если они есть, пытается перезагрузить систему в безопасный режим, чтобы отключить меры безопасности. Затем он отключает выбранные инструменты безопасности, переименовывая их каталоги, и запускает полезную нагрузку Embargo ransomware, которая выполняет обнаружение сетевых ресурсов и каталогов файлов, шифрует файлы и отключает автоматическое восстановление Windows. Программа оставляет записку в каждом зашифрованном каталоге и использует мьютекс для предотвращения запуска нескольких экземпляров.

MS4Killer, предназначенный для отключения продуктов безопасности, использует технику Bring Your Own Vulnerable Driver (BYOVD), эксплуатируя уязвимый драйвер probmon.sys для получения возможности выполнения кода на уровне ядра. Он работает в бесконечном цикле, сканируя и завершая процессы продуктов безопасности с помощью XOR-шифрованных строк для имен процессов. Стойкость обычно достигается с помощью запланированного задания, а в некоторых случаях для доставки используются сценарии PowerShell. Группа Embargo компилирует MS4Killer под конкретные решения безопасности и демонстрирует способность быстро изменять и перекомпилировать свои инструменты для адаптации к различным средам.

Indicators of Compromise

SHA256

  • 0d2619844a3ab68ee18c3a4768b10e6b8aea31143023277883b7ff9f7a9e55ca
  • 6e349195bdc65a1964367317ba14b905440d75398c3fbb1911c3400082d7f149
  • ca601708a3822d4f1fbea39171c8d5e94c0b8741f35a5a2fb63cd6d71da29b1a
  • ebffc9ced2dba66db9aae02c7ccd2759a36c5167df5cd4adb151b20e7eab173c
Комментарии: 0
Похожие записи
0
14 часов
IOC

Распространение RansomHub Ransomware компанией SocGholish

ransomware
Анализ Trend Research показал, что SocGholish, вредоносная программа, играет ключевую роль в распространении RansomHub ransomware через скомпрометированные веб-сайты с помощью обфусцированных JavaScript-загрузчиков.
0
14 часов
IOC

Члены Black Basta (RaaS) использовали автоматизированную систему грубого форсирования, чтобы атаковать пограничные сетевые устройства

security
11 февраля 2025 года русскоязычный актер, использующий Telegram-аккаунт @ExploitWhispers, опубликовал в сети журналы внутренних чатов группы Black Basta Ransomware-as-a-Service (RaaS).
0
11 дней
IOC

Группы Black Basta и Cactus Ransomware добавили в свой арсенал вредоносное ПО BackConnect

security
Команды Trend Micro Managed XDR и Incident Response (IR) провели анализ инцидентов, связанных с программами Black Basta и Cactus, где злоумышленники использовали вредоносную программу BackConnect для захвата контроля над зараженными системами.