Главная страница » IOC
0
1 год
IOC

Mimic Ransomware IOCs - Part 2

ransomware

Команда исследования угроз Securonix отслеживает продолжающуюся кампанию RE#TURGENCE, которая включает в себя атаку и эксплуатацию серверов баз данных MSSQL для получения первоначального доступа. Злоумышленники, судя по всему, нацелены на страны США, ЕС и LATAM и имеют финансовую мотивацию.

Mimic Ransomware

Проанализированная кампания угроз заканчивается одним из двух способов: либо продажей "доступа" к скомпрометированному узлу, либо конечной доставкой полезной нагрузки в виде выкупа. Эти подробности были раскрыты во время крупного провала OPSEC (оперативной безопасности) злоумышленников, о котором мы расскажем позже. С момента получения первоначального доступа до развертывания вымогательского ПО MIMIC на домене жертвы прошел примерно месяц.

Часть кампании, связанная с первоначальным доступом, похожа на кампанию DB#JAMMER, о которой мы писали в прошлом году и которая также включала прямой доступ к MSSQL путем перебора административных паролей.

Злоумышленники в течение последнего года активно атаковали открытые серверы баз данных. Помимо DB#JAMMER, в последнее время сообщалось и о других кампаниях, нацеленных на эти серверы, причем некоторые из них предусматривали получение доступа через ботнеты.

В случае с RE#TURGENCE злоумышленникам удалось проникнуть на сервер-жертву методом грубой силы и использовать процедуру xp_cmdshell для выполнения команд на хосте. Как правило, эта процедура отключена по умолчанию, и ее не следует включать (особенно на публично открытых серверах).

Indicators of Compromise

IPv4

  • 45.148.121.87
  • 88.214.26.3

SHA256

  • 1c7b82b084da8b57ffeef7bdca955c2aa4a209a96ec70e8d13e67283c10c12a5
  • 1ed02979b3f312c4b2fd1b9cfdfb6bede03cd964bb52b3de017128fe00e10d3c
  • 31feff32d23728b39ed813c1e7dc5fe6a87dcd4d10aa995446a8c5eb5da58615
  • 9f3ad476eda128752a690bd26d7f9a67a8a4855a187619e74422cc08121ad3d3
  • a222ba1fd77a7915a61c8c7a0241222b4ad48dd1c243f3548caef23fe985e9c2
  • d0c1662ce239e4d288048c0e3324ec52962f6ddda77da0cb7af9c1d9c2f1e2eb
  • d6cd0080d401be8a91a55b006795701680073df8cd7a0b5bc54e314370549dc4
  • e9c63a5b466c286ea252f1b0aa7820396d00be241fb554cf301c6cd7ba39c5e6
  • f328c143c24afb2420964740789f409d2792413a5769a33741ed956fce5add3e
Комментарии: 0
Похожие записи
0
5 дней
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.
0
7 дней
IOC

EDRKillShifter от RansomHub

security
Исследователи ESET отметили существенные изменения в экосистеме вымогательского ПО в 2024 году, особенно в отношении банды RansomHub, которая стала одной из ведущих на данный момент.