Главная страница » Индикаторы компрометации
0
14 часов
Индикаторы компрометации

Семейство вымогателей Makop эволюционирует: старые уязвимости и новые методы доставки угрожают компаниям по всему миру

ransomware

Исследователи кибербезопасности из Acronis TRU зафиксировали новую волну атак вымогателя Makop, производного от печально известного семейства Phobos. Злоумышленники продолжают эксплуатировать слабые места в безопасности, такие как незащищённые службы удалённого рабочего стола (RDP), но при этом значительно расширили свой арсенал. В него теперь входят эксплойты для локального повышения привилегий (LPE) и загрузчик вредоносного ПО GuLoader, что делает атаки более изощрёнными и опасными.

Описание

Типичная атака начинается с компрометации RDP, часто с помощью брутфорс-атак устаревшим инструментом NLBrute. После получения первоначального доступа злоумышленники разворачивают сетевые сканеры, такие как NetScan или Advanced IP Scanner, для разведки инфраструктуры жертвы. Следующим шагом становится повышение привилегий с помощью набора эксплойтов для уязвимостей Windows, включая CVE-2017-0213 и CVE-2021-41379. Затем атака переходит к этапу обхода защиты. Операторы Makop активно используют инструменты для отключения антивирусов, уязвимые драйверы (BYOVD) и даже целевые утилиты для удаления конкретного ПО безопасности, такого как Quick Heal AV в Индии.

Особенностью последних кампаний стало использование загрузчика GuLoader. Этот троянец, известный с 2019 года, применяется для доставки финальной вредоносной нагрузки. Интеграция GuLoader в цепочку атак Makop указывает на эволюцию тактики группы. Использование загрузчика позволяет обходить традиционные средства защиты и доставлять дополнительные вредоносные модули, что повышает живучесть угрозы в системе. Это первый задокументированный случай применения загрузчика операторами Makop.

Атаки носят ярко выраженный оппортунистический характер. Большинство инцидентов (55%) зафиксировано в Индии, что, вероятно, связано с распространённостью определённого антивирусного ПО и общей уязвимостью инфраструктур. Также атаки отмечены в Бразилии, Германии и других странах. Злоумышленники выбирают цели не по географическому принципу, а исходя из слабости их безопасности. Они демонстрируют подход, требующий относительно низких усилий, но остающийся эффективным против организаций с устаревшими системами и слабой аутентификацией.

Эксперты подчёркивают, что подобные атаки наглядно демонстрируют критическую важность базовых мер кибергигиены. Защита служб RDP с помощью многофакторной аутентификации (MFA), регулярное обновление ПО для устранения известных уязвимостей и внедрение решений для обнаружения и реагирования (EDR) способны значительно снизить риски. Даже такие обыденные векторы атаки, как незащищённый удалённый доступ, могут привести к масштабным инцидентам с шифрованием данных и серьёзными финансовыми потерями.

Индикаторы компрометации

SHA256

  • 01f34180bb635022681723eef73c19adf330d7a32a2e6639c27b1ee5777312be
  • 0745633619afd654735ea99f32721e3865d8132917f30e292e3f9273977dc021
  • 0a4a0f0df5eea57f16a76bff6489dd95a7089afba8e9e5c8bcadc46870af33fb
  • 0d468fa92767ca1abe881155224d94879b575860e403636d3dbb550e9b9a6a7a
  • 0e3c6b3366640989979ae059b768586ff1d8ba4c4b96b49b40609cdaa871363c
  • 10c0dd2878bd0ab9732cd593febf61d94bb2b798bf0aa1c8fa45ddf8c7092cbc
  • 10ea5ac09ec72101c6f8656f3f08f6f9495f8b43849f27928efd6485cee04913
  • 16f83f056177c4ec24c7e99d01ca9d9d6713bd0497eeedb777a3ffefa99c97f0
  • 17fb52476016677db5a93505c4a1c356984bc1f6a4456870f920ac90a7846180
  • 1845fe8545b6708e64250b8807f26d095f1875cc1f6159b24c2d0589feb74f0c
  • 1ef6c1a4dfdc39b63bfe650ca81ab89510de6c0d3d7c608ac5be80033e559326
  • 20c730c7033b5bdc0a6510825e90449ba8f87942d2d7f61fa1ba5f100e98c141
  • 26d5748ffe6bd95e3fee6ce184d388a1a681006dc23a0f08d53c083c593c193b
  • 37d2a1626dc205d60f0bec8746ab256569267e4ef2f8f84dff4d9d792aa3af30
  • 37ff328175acd45ef27d3d339c3127a7612ad713fccd9c9aae01656dfbf13056
  • 3902165d0645afdb4b7d95f5cc55d65ecee17d3b77a31d51170e0beae3fd296a
  • 3cc5ee93a9ba1fc57389705283b760c8bd61f35e9398bbfa3210e2becf6d4b05
  • 3da3b704547f6f4a1497107e78856d434a408306b92ba7c6e270c7c9790aa576
  • 3fa65f17518d10af9ed316fbd0395bf39b3b75a63a5374ff071cbba4b642e4a3
  • 41a328c3bb66e94d73e861699a5ebc4a5c0c7fcee2129e5ecd98c7bde1f95e8e
  • 43c3b5dbc18ebbc55c127d197255446d5f3e074fdac37f3e901b718acbe7c833
  • 4b036cc9930bb42454172f888b8fde1087797fc0c9d31ab546748bd2496bd3e5
  • 4c6cf8dda0c55fafab37569d2e11621c42e17f37a290b13087215190f7518d73
  • 51fd557a7325dd58cfcabebbbc33ef452d93f812c189360d4f2bf87c6df0a59c
  • 5994db4362ded8bf15f81f134e14b9ed581cd2e073709b5fae6b2363bae455e9
  • 5b7b280b53ff3cf95ead4fd4a435cd28294c5fce6a924ec52e500a109deb868b
  • 5b9407df404506219bd672a33440783c5c214eefa7feb9923c6f9fded8183610
  • 5caacdc577c27110f639d4d7c0241607c1bc53ee6f5dbd337793d05cc57e703f
  • 5cdabf41672241798bcca94a7fdb25974ba5ab2289ebadc982149b3014677ae3
  • 5ff803269d6491dd3f0267f6f07b8869e3f08d62cf2110b552bba2cc3d75d26a
  • 61c0810a23580cf492a6ba4f7654566108331e7a4134c968c2d6a05261b2d8a1
  • 6752d24da3565761c94ab10d3010e1be702221783f9b509209f97a8e32003767
  • 6cf6dd6119abcb2751c2692fb93a623b5b4bd290cb3dc217fa9fe09dd721fcdd
  • 6e95adda5f24fdf805ad10ae70069484def3d47419db5503f2c44b130eedf591
  • 722fff8f38197d1449df500ae31a95bb34a6ddaba56834b13eaaff2b0f9f1c8b
  • 7470ae5b55ca282695d2f7c4896344622c94292a915aa63e55000beeb2c1350e
  • 76f88afe7a18e3583bfcc4aed3b3a0ca8a9c18c62ee5f4d746f8da735c47a5e3
  • 8315327f22eff069457c02ddda1ea32a31964e1b8ab688709bcb96c6ccbb6212
  • 8b9c7d2554fe315199fae656448dc193accbec162d4afff3f204ce2346507a8a
  • 8c57b97b04d7eabbae651c3400a5e6b897aea1ae8964507389340c44b99c523a
  • 8ccb30606e3229ff88b3b67a5f4b2b087cab290ce7eedfcb24d1d3954b01d5f9
  • 8f7569e82bd339f3e24431884687b095f678971f20053787d93359672bb9f687
  • 92c65b58c4925534c2ce78e54b0e11ecaf45ed8cf0344ebff46cdfc4f2fe0d84
  • a1a6005cc3eb66063ae33f769fc2d335487b2ed7f92c161e49ad013ffed11ec8
  • a332f863da1709b27b62f3a3f2a06dca48c7dabe6b8db76ec7bb81ce3786e527
  • a8bf7da7e2f62296985e1aadbac8373f5ac813ac158047f5b5579a3f900fd85b
  • a903f4d8f126a830b8f12e05c035b86e4dfd65cb1fd64d0d0b503035b49d0cb7
  • aac0c5ad612fb9a0ac3b4bbfd71b8931fc762f8e11fdf3ffb33ef22076f9c4bc
  • b044c6dbd55747c3592ac527215c3dbf71f92aa4bd8eee5e29ddad571b9335b4
  • b5c2474397fb38a4dd9edab78b6e5178832074ba5bab9bac3f0cad7bc0660cf2
  • bd1f381e5a3db22e88776b7873d4d2835e9a1ec620571d2b1da0c58f81c84a56
  • bd2c2cf0631d881ed382817afcce2b093f4e412ffb170a719e2762f250abfea4
  • be2b45b7df8e7dea6fb6e72d776f41c50686c2c9cfbaf4d456bcc268f10ab083
  • c7d994eb2042633172bd8866c9f163be531444ce3126d5f340edd25cbdb473d4
  • c7e471218b00cdec4f7845a80f1c5b069ee97bf270f878ea45b2dd53aad14798
  • c8afb68260b9036d8e65811927c379112274a2526cc161c7f1502457a501a0d3
  • c8e8cca4ee3c4f4ce4f2076ed93cca058fa1ff88d5ffe49d8d293b27ad25ef68
  • ca08299002fa6181d249115907ee29356e698d72ff06afdca05431c1ed38db35
  • dd748db20e3909596ab18ce3f0b1264e2cfe9f67dfb4bce7d4f9c085ec1fce0a
  • de903a297afc249bb7d68fef6c885a4c945d740a487fe3e9144a8499a7094131
  • e97bdf7fafb1cb2a2bf0a4e14f51e18a34f3ff2f6f7b99731e93070d50801bef
  • eaa9dc1c9dc8620549fee54d81399488292349d2c8767b58b7d0396564fb43e7
  • f181b8ae88f6c657c3ec3d1d5e8420fbf340c543b3d9292947ae035e3591b664
  • f20721945a0a4150470e63bc81c9316cbb5802a60615ae4393283273a62cf8a2
  • f43b86ff363f19f26cc7d80aa64fa0894a264a736ae0abd013d98e344637e4d8
  • f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446
  • fb1dd40577af7ac4d8c32506e78e39841ff6d05ee643c18270ef26eac798df3f
  • feb09cc39b1520d228e9e9274500b8c229016d6fc8018a2bf19aa9d3601492c5
  • ffa28db79daca3b93a283ce2a6ff24791956a768cb5fc791c075b638416b51f4
Комментарии: 0
Похожие записи
0
05.08.2025
Индикаторы компрометации

Аналитики обнаружили рост активности группировок Akira и Lynx, нацеленных на MSP-провайдеров

ransomware
Новые исследования показывают, что операторы Akira и Lynx используют уязвимости VPN, украденные учетные данные и методы двойного шантажа для атак на управляемых сервис-провайдеров (MSP) и малый бизнес.
0
28.12.2022
Индикаторы компрометации

GuLoader: как продвинуты загрузчик вредоносного ПО обходит защиту и усложняет анализ

security
В мире кибербезопасности постоянно появляются новые угрозы, и одной из наиболее изощренных на сегодняшний день является GuLoader - продвинутый загрузчик вредоносного ПО, который использует сложные методы
0
06.04.2023
Индикаторы компрометации

GuLoader IOCs - Part 9

security
GuLoader - это вредоносная программа-загрузчик, которая загружает дополнительные вредоносные программы и запускает их. В прошлом он был упакован с помощью языка Visual Basic, чтобы обойти обнаружение
0
15.06.2023
Индикаторы компрометации

GuLoader: новый опасный загрузчик, маскирующийся под документы и использующий облачные сервисы

security
Вредоносные программы постоянно эволюционируют, и одним из последних примеров такой эволюции стал GuLoader – опасный загрузчик, который активно используется киберпреступниками для распространения других вредоносных программ.