Злоумышленники, известные как BlackCat (также известные как ALPHV), теперь используют украденные учетные записи Microsoft для атак на бизнес-пользователей облачного хранилища Azure.
Согласно отчету исследователя кибербезопасности Sophos, злоумышленники используют в своих атаках новый вариант известного варианта программы-вымогателя.
Отчет был основан на анализе жертвы, которая также была клиентом Sophos. Когда компания расследовала взлом, она обнаружила, что злоумышленники получили доступ к учетной записи Sophos Central, используя украденный одноразовый пароль (OTP). OTP был взят из хранилища LastPass жертвы и добавлен через расширение Chrome. Затем злоумышленники использовали вновь полученный доступ, чтобы отключить защиту от несанкционированного доступа и изменить различные политики безопасности.
Ключ украден
Затем группа зашифровала системы жертвы и выбрала удаленное облачное хранилище в Azure. Все было зашифровано с помощью расширения .zk09cvt, всего 39 учетных записей хранения Azure.
Согласно отчету, ALPHV удалось получить доступ к порталам Azre жертв, используя украденный ключ. Ключ был включен в двоичный файл программы-вымогателя после кодирования с использованием Base64. ПипКомпьютер объяснил.
BlackCat, или ALPHV, — это поставщик программ-вымогателей как услуга, группа, которая сдает в аренду свой шифратор и окружающую инфраструктуру любой группе киберпреступников, которая может себе это позволить. Недавно было замечено, что группа под названием «Рассеянный паук» использовала этот шифр как минимум против одной цели — казино в Лас-Вегасе.
С годами атаки программ-вымогателей развивались. Первоначально они начали с простого шифрования файлов, а по мере того, как компании создавали резервные копии, мошенники начали красть их и угрожать раскрыть конфиденциальные данные, если не будет произведена оплата. В настоящее время некоторые группы предпочитают использовать программу шифрования, утверждая, что весь процесс слишком дорог и громоздок, особенно когда дело касается обслуживания и развертывания программы шифрования. Вместо этого они просто крадут важную информацию и угрожают ее опубликовать.
Больше от TechRadar Pro
