Главная страница » IOC
0
4 месяца
IOC

Masque Ransomware IOCs

ransomware

Masque ransomware - финансово мотивированной группировки, которая атакует российские компании с помощью программ-вымогателей LockBit 3 (Black) и Babuk (ESXi). Группа прямо указывает на свою финансовую мотивацию на русском языке в записке с требованием выкупа, и ее целью являются в основном малые и средние компании. Сумма выкупа варьируется в пределах 5-10 миллионов рублей, а с января 2024 года Masque осуществила не менее 10 атак.

Содержание
  1. Masque Ransomware
  2. Indicators of Compromise
  3. Domains

Masque Ransomware

Группа Masque в основном компрометирует общедоступные сервисы, такие как VMware Horizon, используя уязвимости вроде CVE-2021-44228. Получив доступ, злоумышленники устанавливают инструменты удаленного доступа, такие как AnyDesk, чтобы установить постоянный доступ. Для сохранения контроля злоумышленники создают локальные и доменные учетные записи и используют различные техники для компрометации учетных данных аутентификации и повышения привилегий.

Группа использует различные методы для извлечения паролей, включая извлечение памяти процесса LSASS, дамп реестра, коммерческие инструменты, компрометацию резервных копий и анализ файлов. Они также используют локальное повышение привилегий с помощью таких инструментов, как PsExec, для повышения привилегий до уровня SYSTEM. Злоумышленники целенаправленно не тратят время на обход средств информационной безопасности и антивирусных решений, если они не мешают их работе.

Следует отметить, что в последнее время группа использует нетипичные тактические приемы, такие как использование утилиты TDSSKiller для отключения защитных механизмов или применение сложного загрузчика в своей последней атаке. Группа Masque также создает сетевые туннели для связи со своими командными центрами, используя общедоступные инструменты.

Хотя о политических мотивах атак Masque мало что известно, в последнее время их объектами стали крупные российские компании, что указывает на возможное изменение в их деятельности. В целом, группа вымогателей Masque представляет собой серьезную угрозу для российских компаний, и ее атаки подчеркивают важность надежных мер кибербезопасности для предотвращения и смягчения последствий атак вымогателей.

Indicators of Compromise

Domains

  • b-buhgalteria.ru
  • consultant-info.ru
  • infobuhgalter.ru
  • local-system.online
  • ms-update-cdn.info
Комментарии: 0
Похожие записи
0
16 часов
IOC

ToyMaker, брокер первоначального доступа, работающий в сговоре с группировками двойных вымогателей

ransomware
В 2023 году Cisco Talos обнаружила широкомасштабную компрометацию критической инфраструктурной организации, в ходе которой было обнаружено наличие нескольких угроз.
0
5 дней
IOC

ToyMaker, брокер первоначального доступа, работающий в сговоре с бандами двойных вымогателей

security
В 2023 году Cisco Talos обнаружил компромат на предприятие критической инфраструктуры, который включал в себя брокера первоначального доступа, известного как ToyMaker.