Вредоносные программы, которые обычно устанавливают Ransomware

Обновлено 2020-11-23 249 0


Подробнее о том откуда берутся на компьютере трояны, вымогатели и другие вирусы ☠


Прошли те времена, когда группы программ-вымогателей запускали массовые кампании по рассылке спама в электронной почте наивно надеясь заразить случайных пользователей в Интернете.

Сегодня владельцы программ-вымогателей превратились из неуклюжих активаторов вредоносных программ в сообщества сложных картелей киберпреступников с навыками, инструментами и бюджетами иногда получаемых от государства.

В настоящее время банды вымогателей применяют многоуровневое партнерство для обхода операций по борьбе с киберпреступностью. Так называемые «посредники первичного доступа», действуют как цепочка поставок для преступного подполья, предоставляя бандам вымогателей (и другим) доступ к большим массивам скомпрометированных систем.

Эти системы, состоящие из взломанных конечных точек RDPангл. Remote Desktop Protocol — протокол удалённого рабочего столаиспользуется для обеспечения удалённой работы пользователя с сервером, на котором запущен сервис терминальных подключений.
© Википедия
, сетевых устройств с бэкдором и компьютеров, зараженных вредоносным ПО, позволяют бандам вымогателей легко получать доступ к корпоративным сетям, расширять своё присутствие и шифровать файлы, требуя от жертвы огромных выкупов.

Эти маклеры первичного доступа являются важной частью киберпреступности. Сегодня три типа посредничества являются источниками большинства атак программ-вымогателей:

🚩 Продавцы скомпрометированных конечных точек RDP: банды киберпреступников в настоящее время проводят атаки методом грубой силы на рабочие станции или серверы, настроенные для удаленного доступа по RDP, которые также остались открытыми в Интернете со слабыми учетными данными. Эти системы позже продаются в так называемых «магазинах RDP», откуда банды вымогателей часто выбирают системы, которые, по их мнению, могут быть расположены внутри сети важной цели.

🚩 Продавцы взломанных сетевых устройств: банды киберпреступников также используют эксплойты для широко известных уязвимостей, чтобы получить контроль над сетевым оборудованием компании, таким как серверы VPN, межсетевые экраны или другие периферийные устройства. Доступ к этим устройствам и внутренним сетям, которые они защищают / подключаются, продается на хакерских форумах или "под заказ" бандам вымогателей.

🚩 Продавцы компьютеров, уже зараженных вредоносным ПО: многие современные вредоносные бот-сети часто прочесывают зараженные компьютеры в поисках систем в корпоративных сетях, а затем продают доступ к этим ценным системам другим киберпреступникам, в том числе бандам вымогателей.

Защита от этих трех типов начального доступа часто является самым простым способом избежать программ-вымогателей.

Однако, хотя защита от первых двух обычно включает в себя применение правильных политик паролей и обновление оборудования, от третьего вектора защитить труднее. Здесь нужна только чистая переустановка системы.

Связанные статьи:

Это связано с тем, что распространители вредоносных ботнетов часто применяют социальную инженерию, чтобы заставить пользователей самостоятельно установить вредоносное ПО в свои системы, даже если на компьютерах установлено новейшее программное обеспечение.

В этой статье рассматриваются известные штаммы вредоносных программ, которые использовались за последние два года для установки программ-вымогателей.

Приведенный ниже список, составленный с помощью исследователей безопасности из Advanced Intelligence, Binary Defense и Sophos, должен послужить оповещением для любой организации.

При обнаружении любого из этих распространителей вредоносного ПО системные администраторы должны удалить все, отключить системы, провести аудит и удалить вредоносные программы в качестве первоочередной задачи.


Список ботнетов, с которыми может быть установлены программы вымогатели

emotet

🚩 Emotet считается крупнейшим вредоносным ботнетом на сегодняшний день.

Доказано несколько случаев, когда Emotet распространялся бандами вымогателей напрямую, но многие случаи заражения Ransomware происходят в момент активации нового оборудования уже заражённого Emotet.

Обычно Emotet продавал доступ к своим зараженным системам другим поставщикам вредоносных программ, которые позже продавали свой доступ бандам вымогателей.

Сегодня наиболее распространенная цепочка заражения программ-вымогателей, связанная с Emotet, такова: Emotet — Trickbot — Ryuk.


trickbot

🚩 Trickbot - это вредоносный ботнет и киберпреступление, похожее на Emotet. Trickbot заражает своих собственных жертв, но как известно, покупает доступ к системам, зараженным Emotet, чтобы увеличить свою численность.

За последние два года исследователи безопасности видели, как Trickbot продавал доступ к своим системам бандам киберпреступников, которые позже развернули Ryuk, а затем и программу-вымогатель Conti.


bazar

🚩 BazarLoader в настоящее время считается модульным бэкдором, разработанным группой отделившейся от основной банды Trickbot. В любом случае, независимо от того, как они возникли, группа следует стратегии Trickbt и уже сотрудничает с бандами вымогателей, чтобы обеспечить доступ к системам, которые они заражают.

В настоящее время BazarLoader рассматривается как источник заражения программой-вымогателем Ryuk.


qbot

🚩 QakBot, Pinkslipbot, Qbot или Quakbot иногда упоминаются сообществами информационных технологий как «медленный» Emotet, потому что он делает то же, что и Emotet, но через несколько месяцев спустя.

Поскольку банда Emotet позволяет использовать свои системы для развертывания программ-вымогателей, QakBot также недавно стал партнером различных банд вымогателей. Сначала с MegaCortex, затем с ProLock, а в настоящее время с бандой вымогателей Egregor.


sdbbot

🚩 SDBBot - это штамм вредоносного ПО, которым управляет группа киберпреступников, известная как TA505.

Это не самый распространенный штамм вредоносного ПО, но он является источником инцидентов, связанных с развертыванием вымогателя Clop.


dridex

🚩 Dridex - еще одна банда банковских троянцев , реорганизованная в «загрузчик вредоносных программ», следуя примеру Emotet и Trickbot в 2017 году.

Если в прошлом ботнет Dridex использовали спам-кампании для распространения программы-вымогателя Locky среди случайных пользователей в Интернете, в последние несколько лет они ещё используют зараженные компьютеры, чтобы сбрасывать штаммы вымогателей BitPaymer или DoppelPaymer для целенаправленных атак против конкретной цели.


zloader

🚩 Опоздавшая в бизнес «установить вымогателей», Zloader быстро развивается и уже установил партнерские отношения с операторами штаммов вымогателей Egregor и Ryuk.

Если есть одна вредоносная операция, которая может расширяться и имеет связи, то это она.


buer

🚩 Buer, или Buer Loader, - это вредоносная программа, которая была запущена в конце прошлого года, но уже завоевала зловещую репутацию и связи среди киберпреступников, и продолжает сотрудничать с группами вымогателей.

Некоторые инциденты, в которых был обнаружен вымогатель Ryuk, были связаны с активностью Buer.


phorpiex

🚩 Phorpiex, или Trik, - один из небольших вредоносных ботнетов, но не менее опасный.

Атаки программы-вымогателя Avaddon, обнаруженные в 2020 году, были связаны с Phorpiex. Хотя ни Аваддон, ни Форпикс не являются общими именами, к ним следует относиться с таким же вниманием, как к Эмотетам, Трикботам и прочим.


cobalt

🚩 CobaltStrike не является вредоносным ботнетом. На самом деле это инструмент тестирования на проникновение, разработанный для исследователей кибербезопасности, которым также часто злоупотребляют поставщики вредоносных программ.

Компании не «заражаются» посредством CobaltStrike. Однако многие банды вымогателей развертывают компоненты CobaltStrike как часть своих вторжений.

Инструмент часто используется как способ управления несколькими системами внутри внутренней сети и как предвестник реальной атаки вымогателей.

Многие из перечисленных выше цепочек заражения на самом деле являются [MalwareBotnet] —CobaltStrike— [Ransomware], причем CobaltStrike обычно выступает в качестве наиболее распространенного промежуточного звена между ними.

Мы включили CobaltStrike в наш список потому что многие специалисты считают его опасным де-факто штаммом вредоносного ПО. Если вы видите это в своей сети и не проводите в этот момент тест на проникновение, остановите все, что вы делаете, отключите системы и проведите аудит всего на предмет точки входа для атаки.



Идея: www.zdnet.com





Читайте также:
Похожие записи, из рубрики:
  • Как найти и удалить вирус на компьютере
  • Как подготовиться к атаке программ-вымогателей и бороться с ними
  • Что такое кейлоггер и как его удалить с компьютера?
  • Что такое ботнет Mirai и как я могу защитить свои устройства?
Комментарии

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]