Главная страница » IOC
0
3 года
IOC

RansomEXX Ransomware IOCs

ransomware

RansomEXX - это вариант программы-вымогателя, получивший известность после серии атак в 2020 году и продолжающий действовать и сегодня.

RansomEXX Ransomware

Kaspersky Lab сообщила, что обнаружила Linux-версию программы-вымогателя RansomEXX. Это первый случай, когда основной штамм программы-вымогателя для Windows был перенесен на Linux, чтобы помочь в целевых вторжениях.

RansomEXX - относительно новый штамм вымогательского ПО, впервые замеченный в начале этого года в июне.

Эта программа-вымогатель использовалась в атаках на Департамент транспорта Техаса, Konica Minolta, американского государственного подрядчика Tyler Technologies, систему общественного транспорта Монреаля и, совсем недавно, на судебную систему Бразилии (STJ).

RansomEXX - это то, что исследователи безопасности называют "охотником на крупную дичь" или "управляемым человеком ransomware". Эти два термина используются для описания групп ransomware, которые охотятся на крупные цели в поисках больших денег, зная, что некоторые компании или правительственные учреждения не могут позволить себе простаивать, пока они восстанавливают свои системы.

Эти группы покупают доступ или сами взламывают сети, расширяют доступ к максимально возможному количеству систем, а затем вручную развертывают бинарный код ransomware в качестве конечной полезной нагрузки, чтобы вывести из строя как можно больше инфраструктуры цели.

Но за последний год произошла смена парадигмы деятельности этих групп.

Многие банды, занимающиеся распространением программ-выкупов, поняли, что атака на рабочие станции в первую очередь не является выгодной сделкой, поскольку компании, как правило, переизобретают пораженные системы и идут дальше, не выплачивая выкуп.

В последние месяцы во многих инцидентах некоторые банды вымогателей не утруждали себя шифрованием рабочих станций, а в первую очередь атаковали критически важные серверы в сети компании, зная, что, уничтожив эти системы первыми, компании не смогут получить доступ к своим централизованным хранилищам данных, даже если рабочие станции не пострадают.

Создание бандой RansomEXX Linux-версии своей программы-вымогателя для Windows соответствует тому, как многие компании работают сегодня: многие компании используют внутренние системы на Linux, а не всегда на Windows Server.

Версия для Linux имеет смысл с точки зрения злоумышленников, которые всегда стремятся расширить и затронуть как можно больше основных инфраструктур в своем стремлении покалечить компании и потребовать больший выкуп.

RansomEXX может вскоре стать определяющей тенденцией в отрасли, и другие крупные группы ransomware в будущем также будут выпускать свои версии Linux.

Emsisoft утверждает, что обнаруженные ими варианты RansomEXX Linux были замечены еще в июле. Настройка систем для обнаружения вариантов RansomEXX Linux не является надежной стратегией, поскольку команды охотников за вымогателями действуют по принципу "охоты на крупную дичь". К тому времени, как злоумышленники развертывают вымогательское ПО, они уже владеют большей частью сети компании. Лучшая стратегия, которую компании могут предпринять против этих типов вторжений, заключается в защите периметра сети путем применения исправлений безопасности к шлюзовым устройствам и проверки того, что они не сконфигурированы со слабыми или стандартными учетными данными.

Indicators of Compromise

Domains

  • iq3ahijcfeont3xx.fenaow48fn42.com
  • iq3ahijcfeont3xx.sm4i8smr3f43.com
  • iq3ahijcfeont3xx.tor2web.blutmagie.de

SHA256

  • 09c99e37121722dd45a2c19ff248ecfe2b9f1e082381cc73446e0f4f82e0c468
  • 259670303d1951b6b11491ddf8b76cad804d7a65525eac08a5b6b4473b42818b
  • 335d1c6a758fcce38d0341179e056a471ca84e8a5a9c9d6bf24b2fb85de651a5
  • 452c219223549349f3b2c4fe25dfef583900f8dac7d652a4402cf003bf5ecf46
  • 48301f37e92a9d5aa29710bda4eee034dd888a3edd79e2f74990300ffd8eb3b6
  • 48460c9633d06cad3e3b41c87de04177d129906610c5bbdebc7507a211100e98
  • 4b8103cd9fbb0efb472cbf39715becacf098f7ee44bf98f6672278e4e741542b
  • 4cae449450c07b7aa74314173c7b00d409eabfe22b86859f3b3acedd66010458
  • 5c3569c166654eed781b9a2a563adec8e2047078fdcbafcdef712fabf2dd3f57
  • 5ccf8c6bf9c39ccb54c5ebabd596a1335da522d70985840036e50e3c87079ab4
  • 62e9d5b3b4d5654d6ec4ffdcd7a64dfe5372e209b306d07c6c7d8a883e01bead
  • 6962e408aa7cb3ce053f569415a8e168a4fb3ed6b61283c468f6ee5bbea75452
  • 78147d3be7dc8cf7f631de59ab7797679aba167f82655bcae2c1b70f1fafc13d
  • 981e6f2584f5a4efa325babadcb0845528e8147f3e508c2a1d60ada65f87ce3c
  • 98266835a238797f34d1a252e6af0f029c7823af757df10609f534c4f987e70f
  • ad635630ac208406cd28899313bef5d4e57dba163018dfb8924de90288e8bab3
  • b6ed0a10e1808012902c1a911cf1e1b6aa4ad1965e535aebcb95643ef231e214
  • b89742731932a116bd973e61628bbe4f5d7d92b53df3402e404f63003bac5104
  • cb408d45762a628872fa782109e8fcfc3a5bf456074b007de21e9331bb3c5849
  • d931fe8da243e359e9e14f529eafe590b8c2dd1e76ca1ad833dd0f927648f88b
  • ec2a22d92dd78e37a6705c8116251fabdae2afecb358b32be32da58008115f77
  • f9c6dca22e336cf71ce4be540905b34b5a63a7d02eb9bbd8a40fc83e37154c22
Комментарии: 0
Похожие записи
0
11 часов
IOC

Распространение RansomHub Ransomware компанией SocGholish

ransomware
Анализ Trend Research показал, что SocGholish, вредоносная программа, играет ключевую роль в распространении RansomHub ransomware через скомпрометированные веб-сайты с помощью обфусцированных JavaScript-загрузчиков.
0
11 часов
IOC

Члены Black Basta (RaaS) использовали автоматизированную систему грубого форсирования, чтобы атаковать пограничные сетевые устройства

security
11 февраля 2025 года русскоязычный актер, использующий Telegram-аккаунт @ExploitWhispers, опубликовал в сети журналы внутренних чатов группы Black Basta Ransomware-as-a-Service (RaaS).
0
12 часов
IOC

Head Mare и Twelve объединяют усилия для атаки на российские организации

security
В сентябре 2024 года российские компании стали объектами серии атак, которые обнаружили признаки компрометации, связанные с двумя хактивистскими группами - Head Mare и Twelve.