Киберпреступники, известные как Twisted Spider (также известный как Storm-0216), были замечены при использовании сервисов Storm-1044, которые заразили целевые конечные точки трояном первичного доступа под названием DanaBot. Затем Twisted Spider использовал этот доступ для развертывания программы-вымогателя CACTUS.
В теме в Твиттере. По словам исследователей безопасности Microsoft, Storm-0216 был известен тем, что использовал инфраструктуру QakBot для заражения, но поскольку правоохранительные органы пресекли эту операцию прошлым летом, группа была вынуждена переключиться на другую платформу.
«Текущая кампания Danabot, впервые обнаруженная в ноябре, похоже, использует частную версию вредоносного ПО для кражи информации, а не предложение «вредоносное ПО как услуга», — поясняют в компании. DanaBot предложила своим партнерам практическую работу с клавиатурой, добавили в компании.
Как только группа Storm-1044 украла необходимые учетные данные, они перемещаются по сети и через конечные точки посредством попыток входа в систему RDP. Как только первоначальный доступ был установлен, группа передавала его Twisted Spider, который затем заражал конечные точки программой-вымогателем CACTUS.
Похоже, что CACTUS быстро становится предпочтительным выбором для многих операторов программ-вымогателей. На прошлой неделе исследователи Arctic Wolf предупредили, что хакеры использовали три уязвимости в решении для анализа данных Qlik Sense, чтобы развернуть этот конкретный вариант и украсть конфиденциальные корпоративные данные.
В мае исследователи Kroll обнаружили, что программа-вымогатель обладает уникальным методом обхода средств защиты кибербезопасности: «CACTUS по сути шифрует себя, что затрудняет его обнаружение и помогает обойти антивирусные инструменты и инструменты сетевого мониторинга», — сказала Лори Яконо, заместитель управляющего директора по киберрискам в компании Kroll. Крол, сообщил компьютеру.
Cactus — относительный новичок в игре с вымогателями, и его впервые заметили в марте этого года. Он имеет обычный метод работы: крадет конфиденциальные данные и системы шифрования, а затем требует оплаты в криптовалюте в обмен на ключ дешифрования и сохраняет конфиденциальность данных.
Первоисточник: : https://nybreaking.com/category/tech/
