Главная страница » IOC
0
6 месяцев
IOC

NoName Ransomware IOCs

ransomware

Группа NoName, действующая по меньшей мере с 2020 года, недавно развернула специальную программу-вымогатель под названием ScRansom. Несмотря на то, что ScRansom сравнительно несложная программа, она использовалась для атак на малые и средние предприятия (SMB) по всему миру. Исследователи ESET отмечают возможную связь между NoName и группой RaaS (ransomware-as-a-service) RansomHub.

NoName Ransomware

NoName использует пользовательские инструменты из семейства вредоносных программ Spacecolon, которые разворачиваются после получения доступа к сети с помощью брутфорс-атак или эксплуатации старых уязвимостей, таких как EternalBlue (CVE-2017-0144) и ZeroLogon (CVE-2020-1472). CosmicBeetle также выдавал себя за LockBit, используя утечку сборщика LockBit для создания пользовательских программ-вымогателей и подражая его бренду. В более поздних атаках NoName заменил свой шифровальщик Scarab на ScRansom.

Компания ESET отслеживает деятельность банды NoName, известной также как CosmicBeetle, с 2023 года, отмечая рост популярности ScRansom, вредоносной программы-шифровальщика файлов на базе Delphi. Несмотря на свою простоту по сравнению с другими программами-вымогателями, ScRansom продолжает развиваться: у него появился структурированный графический интерфейс пользователя (GUI) и режимы частичного шифрования, включая тот, который необратимо стирает сегменты файлов. Схема шифрования перешла от базового AES-CTR-128 к более сложной комбинации RSA-1024 и AES-CTR-128, а также убивает процессы во время шифрования, причем недавно был добавлен отдельный инструмент для уничтожения процессов - ScKill.

Исследователи ESET считают, что CosmicBeetle мог стать филиалом RansomHub, ссылаясь на схожие схемы атак и общие наборы инструментов. Телеметрия ESET показала, что CosmicBeetle использовала средство для уничтожения EDR от RansomHub после того, как ее собственные инструменты не смогли скомпрометировать цель, что усиливает возможную связь.

Атаки NoName в основном направлены на малые и средние предприятия различных секторов экономики, их жертвами становятся работники производства, здравоохранения и правительства, особенно в регионах со слабой практикой управления исправлениями.

Indicators of Compromise

SHA256

  • 285493c54c35e3b571e28fc0816baa4b3833329eeec3649601dd6385a60c8d84
  • 34e2b621f15ad4747c7e3dde2be3617841ffacba203b93fd2ff3256b914240f7
  • 87738c63f7098c86625e831ccb7867eca336222bb038fe6411ca4a42186f3cc9
  • da414697d21874978dcc58930a63c7f2aa42a23b6e8b9580ad4c94d9311c138d
  • e44422f6853a2a318f937607e9270ec66a374a3e078d1eedd720f8cb838a165c
Комментарии: 0
Похожие записи
0
8 дней
IOC

Группы Black Basta и Cactus Ransomware добавили в свой арсенал вредоносное ПО BackConnect

security
Команды Trend Micro Managed XDR и Incident Response (IR) провели анализ инцидентов, связанных с программами Black Basta и Cactus, где злоумышленники использовали вредоносную программу BackConnect для захвата контроля над зараженными системами.
0
20 дней
IOC

Ghost (Cring) Ransomware IOCs

ransomware
Общее совместное сообщение Федерального бюро расследований (ФБР), Агентства кибербезопасности и безопасности инфраструктуры (CISA) и Многоштатного центра обмена информацией и анализа (MS-ISAC) обнародовало
0
20 дней
IOC

Как быстрые фишинговые атаки используют слабые места

ransomware
Недавно компания ReliaQuest столкнулась с взломом в производственном секторе, связанным с фишингом и утечкой данных. Злоумышленники были очень быстры и смогли взломать систему всего за 48 минут.