Дрожь, школы и университеты: Рисида захватывает Oyster Backdoor

Сектор образования становится основной мишенью для киберпреступников.

10 июля неназванная частная школа была атакована группой вымогателей Rhysida с помощью новой версии Oyster Backdoor, также известной как Broomstick. Впервые обнаруженный Rapid7 в конце июня этого года, этот обновленный вариант Oyster использует технику SEO-отравления, чтобы обманом заставить пользователей загружать вредоносные установщики, маскирующиеся под легальное программное обеспечение, такое как Google Chrome и Microsoft Teams.

Вышеупомянутая атака использовала бэкдор Oyster на конечной точке пользователя, вероятно, с помощью вредоносного IP-сканера, распространяемого через вредоносную рекламу. Вредоносная DLL, связанная с этой атакой, взаимодействует с доменом «codeforprofessionalusers».[.]com», опубликованный исследователями ThreatDown. идентифицированный в качестве сервера управления и контроля Oyster.

Одним из примечательных методов этой атаки был захват ввода, Это позволило украсть административные учетные данные для клиентских гипервизоров. Конкретные задачи и вредоносные каталоги, выявленные в этом инциденте, были добавлены в базу данных обнаружения ThreatDown.

Злоумышленники использовали украденные учетные данные SSH для доступа к устройствам NAS и гипервизорам VMware, минуя уровень безопасности в реальном времени ThreatDown Endpoint Protection (EP), что позволило им развернуть Rhysida. Поскольку клиент полагался только на EP, а не на EDR или MDR, подозрительная активность осталась незамеченной.

Программа-вымогатель зашифровала файлы VMDK на гипервизоре и, возможно, другие важные данные на устройствах NAS. Кроме того, локальные резервные копии также были зашифрованы, что требовало использования дополнительных резервных копий для восстановления данных.

С момента своего появления в июне 2023 года группировка «Ризида» осуществила более 107 подтвержденных атак, причем примерно 30% жертв произошли в сфере образования. Чтобы предотвратить атаки и минимизировать их последствия, рекомендуется выполнить следующие процедуры:

ЧИТАТЬ  Прогноз цены на биткойн: $ BTC упадет ниже 25 000 долларов, высокопоставленные инвесторы обращают внимание на этот многообещающий альткойн с искусственным интеллектом

  • Устраните все следы нападения. После того как вы изолировали и остановили первоначальную атаку, вы должны удалить все следы злоумышленников, их вредоносных программ и методов проникновения.
  • Блокирование распространенных форм инфильтрации. Разработайте план быстрого устранения уязвимостей в системах, доступных в Интернете. Усилить защиту удаленного доступа (RDP и VPN); Используйте программное обеспечение для обеспечения безопасности конечных точек.
  • Обнаружения вторжений. Сегментируйте сети и ограничивайте доступ с помощью EDR или MDR для обнаружения необычной активности.
  • Создавайте дополнительные резервные копии, хранящиеся в автономном режиме. Храните резервные копии в недоступном для злоумышленников месте и регулярно проверяйте возможность восстановления.

Постоянная бдительность, регулярное обучение сотрудников и многоуровневая стратегия безопасности также являются важными факторами предотвращения и защиты от кибератак. В конечном счете, инвестиции в кибербезопасность — это инвестиции в будущее и стабильность любой компании.

Source