TTL OSINT

Программа-вымогатель в черном костюме

В отчете DFIR "Реальные вторжения реальных злоумышленников" подробно описывается 15-дневная атака программ-вымогателей в декабре 2023 года, когда злоумышленник использовал маяки Cobalt Strike для первоначального доступа, перемещения по сети и повышения привилегий. Злоумышленники создали ключ запуска в реестре для обеспечения постоянного доступа и использовали SystemBC для создания запланированных задач. Они также использовали методы передачи хэша и Kerberoasting для доступа к учетным данным. Программа-вымогатель Black Suit была внедрена через SMB в удаленные системы и зашифрованные файлы. Время работы программы-вымогателя (TTR) составило чуть менее 328 часов. В отчете подчеркивается, что злоумышленники использовали различные методы, чтобы избежать обнаружения, включая внедрение процессов и модификацию реестра для обеспечения доступа по протоколу RDP.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://thedfirreport.com/2024/08/26/blacksuit-ransomware/

Примеры признаков компромисса:

• 0bb61c0cff022e73b7c29dd6f1ccf0e2
• wq.regsvcast.com
• 60dcbfb30802e7f4c37c9cdfc04ddb411060918d19e5b309a5be6b4a73c8b18a
• 6c884e4a9962441155af0ac8e7eea4ac84b1a8e71faee0beafc4dd95c4e4753f
• 3bf1142b3294c23852852053135ec0df

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал