Новости Muliaka атакует российские компании

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
Muliaka — новая группа кибервымогателей, на операции которой обратили внимание специалисты F.A.C.C.T.


Злоумышленники взяли в прицел российские компании, которые атакуют с декабря 2023 года. Киберпреступники орудуют программой-вымогателем, устанавливая её в сеть жертвы. Причём интересно, что для запуска вредоноса на Windows-компьютерах Muliaka пользуется популярным корпоративным антивирусом.

muliaka_news.png


Своё имя группа получила частично от аккаунта электронной почты — [email protected](ссылка для отправки email). Как отмечается в блоге F.A.C.C.T., в январе группировке удалось пробить одну из российских компаний, зашифровать Windows-системы и виртуальную инфраструктуру VMware ESXi.

После получения доступа к инфраструктуре атакующие выждали две недели, а затем начали шифровать данные. VPN-сервис компании выступил в качестве вектора проникновения, а служба удаленного управления WinRM (Windows Remote Management) помогла перемещаться по узлам инфраструктуры. Запустить шифровальщик удалённо злоумышленникам помог инсталляционный пакет и соответствующая задача.

Жертвам не помогает даже наличие установленного антивируса в ИТ-инфраструктуре — Muliaka использует его для продвижения по сети.

1_35_muliaka.png


Чтобы лишить целевую организацию резервных копий, группировка запускала дополнительный PowerShell-скрипт Update.ps1, задача которого — остановить и запретить службы баз данных и резервного копирования, а также удалить точки восстановления и теневые копии.

Схожую схему, кстати, использовала OldGremlin. Фигурирующий Windows-шифровальщик тоже интересен: его слепили из утёкших в публичный доступ исходных кодов вымогателя Conti 3. Вредонос шифрует данные в два прохода. Интересный момент: практически все обнаруженные экспертами образцы были загружены на портал VirusTotal из Украины.

2_67_muliaka.png



 
Сверху Снизу