#ParsedReport #CompletenessMedium
22-10-2024

Attackers Target Exposed Docker Remote API Servers With perfctl Malware. Summary

https://www.trendmicro.com/en_us/research/24/j/attackers-target-exposed-docker-remote-api-servers-with-perfctl-.html

Report completeness: Medium

Threats:
Perfctl

Victims:
Docker remote api servers

TTPs:
Tactics: 7
Technics: 10

IOCs:
IP: 3
Url: 3
Hash: 2

Soft:
Docker, ubuntu, Unix, Systemd, curl

Algorithms:
base64

Languages:
php

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 1, code: 16

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что неизвестный злоумышленник использует уязвимости в открытых удаленных API-серверах Docker для развертывания вредоносного ПО perfctl. Атака включает в себя последовательность шагов, таких как проверка серверов, выполнение полезной нагрузки, методы обхода и установка постоянной лазейки для постоянного доступа. Организациям рекомендуется обезопасить и контролировать свои серверы Docker, проводить регулярные проверки безопасности и обновлять исправления для предотвращения подобных атак.
-----

В тексте описывается, как неизвестный злоумышленник использует незащищенные серверы Docker remote API для развертывания вредоносного ПО perfctl. Атака включает в себя проверку серверов, выполнение полезной нагрузки, методы обхода и установку постоянной лазейки для постоянного доступа. Злоумышленники используют уязвимости в удаленных API-серверах Docker для развертывания вредоносного кода, создавая контейнеры Docker с определенными настройками и выполняя полезную нагрузку в кодировке Base64. Процесс выполнения полезной нагрузки включает в себя выход из контейнера, создание сценариев bash, установку переменных окружения и загрузку вредоносного двоичного файла, замаскированного под расширение PHP.

Чтобы избежать обнаружения, злоумышленники используют такие методы уклонения, как проверка на наличие похожих процессов и создание каталогов и пользовательских функций для загрузки файлов. Последовательность атаки включает в себя проверку наличия сервера, создание контейнеров Docker с определенными изображениями, взлом контейнеров с помощью таких инструментов, как "nsenter", и выполнение полезной нагрузки. Предыдущие инциденты показали, что злоумышленники устанавливали майнеры криптовалюты аналогичными методами.

В тексте подчеркивается, что организациям крайне необходимо обеспечить безопасность и мониторинг своих серверов Docker Remote API для предотвращения подобных атак. Регулярные проверки безопасности и обновление исправлений необходимы для повышения уровня безопасности. Атака включает подтверждение присутствия вредоносных процессов, проверку активных TCP-соединений, загрузку вредоносных двоичных файлов и запуск определенных действий в зависимости от размера и существования файла. Выполнение полезной нагрузки приводит к таким действиям, как завершение работы процессов, установка разрешений, обновление переменных среды и выполнение команд в фоновом режиме.

Вредоносная программа сохраняет свою устойчивость, создавая службы systemd или задания cron, что обеспечивает непрерывную активность и затрудняет устранение. Устойчивый бэкдор устанавливается путем замены исходной оболочки "/bin/sh" на модифицированную версию, которая обеспечивает повышение привилегий и выполнение команд. Создаются резервные двоичные файлы для восстановления исходной оболочки во время очистки. Кроме того, запускается фоновый процесс для дальнейшего взаимодействия и поддержки бэкдора с использованием определенных функций.

#ParsedReport #CompletenessLow
22-10-2024

IntelBroker s Alleged Cisco Breach: A Deep Dive into the Claims and Responses

https://socradar.io/intelbrokers-alleged-cisco-breach-a-deep-dive-into-the-claims-and-responses

Report completeness: Low

Actors/Campaigns:
Cyberniggers (motivation: cyber_criminal, information_theft)
Usdod (motivation: cyber_criminal)
Baphomet

Threats:
Shinyhunters

Victims:
Cisco systems, Microsoft, At&t, Barclays, British telecom, Bank of america, Verizon, Vodafone, Bt, Sap, have more...

Industry:
Financial, Telco

Geo:
America

ChatGPT TTPs:
do not use without manual check
T1078, T1027, T1071

Soft:
Docker, Twitter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - о хакере киберугроз, известном как IntelBroker, который утверждал, что взломал системы Cisco, делился подробностями взлома на форумах и подчеркивал свою настойчивость и возможности в атаке на крупные организации, используя при этом психологические приемы для оказания давления на цели и создания репутации, основанной на высоком уровне. -профильные вторжения.
-----

IntelBroker, известный хакер и нынешний администратор хакерского форума BreachForums, заявил, что 14 октября 2024 года он взломал Cisco Systems. Злоумышленник заявил о доступе к конфиденциальным данным, включая исходные коды и внутренние документы, и поделился подробностями взлома на форуме. В то время как Cisco отрицала какую-либо компрометацию своих основных систем, они признали факт утечки данных через общедоступный ресурс DevHub. IntelBroker утверждал, что у них был доступ до 18 октября, когда Cisco предположительно отозвала все оставшиеся точки входа.

О взломе Cisco Systems объявила компания IntelBroker на BreachForums, заявив, что инцидент произошел 6 октября, и предложив украденные данные на продажу. Актер перечислил крупные компании, к данным которых они якобы получили доступ, включая Microsoft, AT&T, Barclays, Bank of America и другие. На скриншотах, которыми поделился IntelBroker, был показан доступ к интерфейсам управления, внутренним документам, базам данных и информации о клиентах. Это нарушение выявило настойчивость и возможности IntelBroker в борьбе с известными организациями.

В ответ на претензии IntelBroker компания Cisco опубликовала заявление от 15 октября 2024 года, касающееся инцидента с безопасностью. Компания IntelBroker использовала Twitter, чтобы расширить свои заявления о нарушениях, раскритиковать действия Cisco и подчеркнуть, что до 18 октября у них был постоянный доступ к системам Cisco. Расценив отзыв доступа со стороны Cisco как отложенное действие, IntelBroker стремился подорвать усилия Cisco по реагированию на инциденты и продемонстрировать свою устойчивость к угрозам.

История взломов IntelBroker в крупных организациях началась в конце 2022 года, когда были подтверждены нарушения в таких компаниях, как Weee Grocery Service, Европол и AT&T. Актер приобрел известность на BreachForums и получил статус администратора в мае 2024 года после значительных сбоев в руководстве форумом. Участие IntelBroker распространялось не только на BreachForums, но и на группу киберпреступников CyberNiggers, где они сыграли ключевую роль в организации значительных взломов и возрождении группы в августе 2024 года.

Инцидент с Cisco является частью стратегического подхода IntelBroker к борьбе с организациями не только с целью кражи данных, но и для создания репутации, основанной на громких вторжениях, которые бросают вызов корпоративным мерам безопасности. Способность IntelBroker последовательно взламывать известные организации и поддерживать видимость на таких платформах, как Twitter, демонстрирует их технические навыки и психологическую тактику оказания давления на цели. Это последнее нарушение подчеркивает эволюцию тактики IntelBroker и ее неизменную нацеленность на использование потенциальных уязвимостей в корпоративных системах.

#ParsedReport #CompletenessLow
22-10-2024

macOS NotLockBit \| Evolving Ransomware Samples Suggest a Threat Actor Sharpening Its Tools

https://www.sentinelone.com/blog/macos-notlockbit-evolving-ransomware-samples-suggest-a-threat-actor-sharpening-its-tools

Report completeness: Low

Threats:
Notlockbit
Lockbit

ChatGPT TTPs:
do not use without manual check
T1486, T1071, T1562, T1119

IOCs:
File: 4
Hash: 5

Soft:
macOS, sysctl

Algorithms:
sha1

Platforms:
intel, apple

Links:
https://github.com/elastic/go-sysinfo/blob/main/types/host.go

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Исследователи из Trend Micro выявили новый образец программы-вымогателя для macOS под названием macOS.NotLockBit, который является первой успешной попыткой шифрования файлов и утечки данных в macOS. Программа-вымогатель, распространяемая в виде двоичного файла x86_64, нацелена на компьютеры Intel Mac или Apple silicon Mac и шифрует файлы с расширением .abcd, отображая при этом баннер LockBit 2.0. Вредоносная программа пытается извлечь пользовательские данные на сервер AWS S3 перед шифрованием и использует различные тактики, чтобы избежать обнаружения. Платформа безопасности SentinelOne эффективно блокирует все известные версии NotLockBit, но это открытие указывает на тенденцию к более изощренным атакам программ-вымогателей на платформу Apple, сигнализируя о потенциальных будущих угрозах и изменениях.
-----

Исследователи из Trend Micro недавно обнаружили образец программы-вымогателя для macOS, которая продемонстрировала надежные возможности блокировки файлов и утечки данных, выдавая себя за программу-вымогателя LockBit после успешного шифрования файлов пользователя. Это открытие знаменует собой отход от предыдущих попыток вымогательства для macOS, которые в основном были безуспешными. Было замечено, что вредоносная программа, получившая название macOS.NotLockBit из-за присвоения ей названия LockBit, была заблокирована SentinelOne Singularity.

Программа-вымогатель кодируется на Go и распространяется в виде двоичного файла x86_64, специально предназначенного для компьютеров Intel Mac или Apple silicon Mac с программным обеспечением для эмуляции Rosetta. После запуска она собирает системную информацию и может считывать ключевые файлы для сбора сведений о системе. Вредоносная программа использует встроенный открытый ключ для шифрования мастер-ключа, который затем используется для шифрования файлов. Зашифрованные файлы идентифицируются по расширению .abcd, а в каждой зашифрованной папке хранится записка с требованием выкупа с именем README.txt. NotLockBit пытается изменить обои рабочего стола и отобразить баннер LockBit 2.0, несмотря на то, что версия LockBit 3.0 является последней версией.

Перед шифрованием файлов вредоносная программа пытается извлечь пользовательские данные на сервер AWS S3, используя жестко запрограммированные учетные данные. Злоумышленник создает новые корзины на экземпляре AWS S3 для фильтрации данных. NotLockBit устанавливает фоновое изображение с помощью System Events.app с помощью вызова osascript. Было обнаружено несколько вариантов вредоносного ПО, и на каждой итерации были обнаружены улучшения и модификации, в том числе попытки избежать обнаружения и улучшить функциональность.

Платформа безопасности SentinelOne защищает от всех известных версий macOS.NotLockBit, используя многоядерный подход, который сочетает в себе статические и динамические возможности искусственного интеллекта для расширенного обнаружения угроз и их устранения. В то время как программы-вымогатели на macOS остаются относительно редкими, злоумышленники все чаще осознают прибыльность тактики двойного вымогательства на платформе Apple, сочетающей кражу данных с шифрованием файлов, чтобы заставить жертв заплатить выкуп. Разработка NotLockBit свидетельствует о постоянных усилиях участников угроз по совершенствованию своей тактики и возможностей.

На данный момент учетные записи злоумышленника на AWS удалены, и нет никаких свидетельств о жертвах или широко распространенных методах распространения NotLockBit. Однако, учитывая значительные средства, вложенные в разработку этого конкретного вида вредоносного ПО, вполне вероятно, что в ближайшем будущем могут появиться новые версии или угрозы от того же лица. Уязвимости в системах защиты Apple от TCC создают проблемы для злоумышленников, но будущие версии вредоносного ПО могут устранить эти препятствия и повысить эффективность.

#ParsedReport #CompletenessMedium
22-10-2024

Earth Simnavaz (aka APT34) Levies Advanced Cyberattacks Against Middle East

https://www.trendmicro.com/en_us/research/24/j/earth-simnavaz-cyberattacks.html

Report completeness: Medium

Actors/Campaigns:
Oilrig (motivation: cyber_espionage)
Fox_kitten

Threats:
Ngrok_tool
Supply_chain_technique
Credential_harvesting_technique
Stealhook_tool
Karkoff
Trojan.ps1.dulldrop.i624
Trojan.win64.dulload.i
Dullwshell
Dullscan_tool
Trojan.ps1.dulldrop.i

Industry:
Energy, Petroleum

Geo:
Middle east

CVEs:
CVE-2024-30088 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20680)
- microsoft windows 10 1607 (<10.0.14393.7070)
- microsoft windows 10 1809 (<10.0.17763.5936)
- microsoft windows 10 21h2 (<10.0.19044.4529)
- microsoft windows 10 22h2 (<10.0.19045.4529)
have more...

ChatGPT TTPs:
do not use without manual check
T1566.001, T1078, T1071.001, T1059.001, T1003.001, T1105, T1021.001

IOCs:
Path: 4
File: 2
Registry: 1
Hash: 17

Soft:
Microsoft Exchange, Windows Kernel, Local Security Authority, active directory, PSEXEC

Algorithms:
aes, exhibit, base64

Functions:
GetUserPassFromData, GetSendData

Languages:
powershell

Links:
have more...
https://github.com/aaaddress1/RunPE-In-Memory
https://github.com/tykawaii98/CVE-2024-30088

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 2, code: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа кибершпионажа Earth Simnavaz, также известная как APT34 и OilRig, активно нацелена на организации в энергетическом секторе, особенно на Ближнем Востоке, используя передовые тактики и инструменты для осуществления вредоносной деятельности. Эта группа представляет постоянную угрозу для организаций и подчеркивает важность понимания тактики, используемой киберпреступниками, спонсируемыми государством, и противодействия ей. Защита от таких угроз включает в себя использование аналитических отчетов об угрозах, внедрение архитектуры нулевого доверия и усиление мер безопасности, таких как SOC, EDR и MDR-возможности.
-----

Краткое содержание:.

Расследование Trend Micro показало, что кибершпионажная группа Earth Simnavaz, также известная как APT34 и OilRig, активно нацелена на организации в энергетическом секторе, особенно на Ближнем Востоке. Они используют передовые методы, такие как использование бэкдоров на серверах Microsoft Exchange для кражи учетных данных и использование уязвимостей, таких как CVE-2024-30088, для повышения привилегий. Earth Simnavaz использует комбинацию настраиваемых инструментов .NET, скриптов PowerShell и вредоносных программ на базе IIS, которые адаптируются к обычному сетевому трафику, что затрудняет их обнаружение. Их недавняя деятельность сосредоточена на использовании уязвимостей в ключевой инфраструктуре в уязвимых регионах с целью обеспечения постоянного доступа для дальнейших атак на дополнительные цели.

Вредоносная деятельность Earth Simnavaz включает в себя внедрение сложных бэкдоров для утечки учетных данных через серверы Microsoft Exchange, использование таких инструментов, как ngrok, для удаленного мониторинга и управления, а также использование уязвимостей, таких как CVE-2024-30088, для повышения привилегий. Такая тактика подчеркивает эволюционный характер методологий группы и постоянную угрозу, которую они представляют для организаций, особенно тех, которые используют уязвимые платформы, такие как Microsoft Exchange. Группа постоянно адаптируется, добавляя новые уязвимости в свой инструментарий для повышения скрытности и эффективности своих атак.

Было замечено, что Earth Simnavaz проводит атаки на цепочки поставок через скомпрометированные организации и, возможно, использует украденные учетные записи для фишинговых кампаний против дополнительных целей. Кроме того, существует документально подтвержденная взаимосвязь между Earth Simnavaz и FOX Kitten APT group, что еще раз подчеркивает серьезный характер этих угроз, нацеленных на организации в таких важных секторах, как национальная безопасность и экономическая стабильность. Использование группой таких инструментов, как ngrok, для поддержания устойчивости и контроля над уязвимыми средами подчеркивает важность понимания тактики, используемой спонсируемыми государством кибератаками, и противодействия ей.

Для защиты от развивающихся угроз, таких как Earth Simnavaz, организации могут использовать отчеты об угрозах и аналитические материалы для активной защиты своей среды, снижения рисков и эффективного реагирования на потенциальные атаки. Внедрение архитектуры с нулевым уровнем доверия и усиление мер безопасности, таких как Центр управления безопасностью (SOC), возможности обнаружения конечных точек и реагирования на них (EDR), а также возможности управляемого обнаружения и реагирования (MDR), могут повысить эффективность защиты от таких сложных злоумышленников, как Earth Simnavaz, которые продолжают представлять значительный риск для секторов на Ближнем Востоке.

#ParsedReport #CompletenessMedium
22-10-2024

Using gRPC and HTTP/2 for Cryptominer Deployment: An Unconventional Approach

https://www.trendmicro.com/en_us/research/24/j/using-grpc-http-2-for-cryptominer-deployment.html

Report completeness: Medium

Threats:
Srbminer

Victims:
Docker

Industry:
Healthcare

TTPs:
Tactics: 5
Technics: 7

IOCs:
File: 1
Hash: 1
Url: 1
IP: 2

Soft:
Docker, debian

Crypto:
ripple

Algorithms:
zip

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в использовании удаленных API-серверов Docker злоумышленниками, использующими gRPC/h2c для развертывания криптомайнера SRBMiner для майнинга криптовалюты XRP на хостах Docker. В нем подчеркиваются риски безопасности, связанные с неправильно сконфигурированными и незащищенными удаленными API-серверами Docker, неправильным использованием методов gRPC в Docker для вредоносных действий и важностью защиты контейнерных платформ, таких как Docker, для предотвращения подобных атак. Trend Micro подчеркивает необходимость раннего обнаружения угроз, автоматизированного сканирования, машинного обучения и анализа угроз для защиты от развивающихся киберугроз.
-----

В записи блога рассказывается о том, как злоумышленники используют удаленные API-серверы Docker, используя gRPC/h2c для развертывания криптомайнера SRBMiner для майнинга криптовалюты XRP на хостах Docker. Исследователи Trend Micro наблюдали недавнюю атаку, в ходе которой злоумышленник нацелился на удаленные API-серверы Docker для выполнения операций криптомайнинга с использованием протокола gRPC через h2c, что позволило им эффективно обходить решения по обеспечению безопасности. Злоумышленник сначала проверил доступность и версию Docker API, затем запросил обновления gRPC/h2c и методы gRPC для управления функциональными возможностями Docker. Впоследствии злоумышленник загрузил и развернул криптомайнер SRBMiner с GitHub, инициировав процесс майнинга на свой криптовалютный кошелек и публичный IP-адрес.

Docker - это платформа, которая упрощает процессы разработки приложений, предлагая функцию удаленного API для удаленного управления контейнерами, образами и томами. Однако, если эти удаленные серверы API неправильно настроены и подключены к Интернету, они могут представлять угрозу безопасности, что делает их уязвимыми для использования злоумышленниками. Наблюдаемая атака является примером неправильного использования протокола gRPC через h2c для развертывания криптомайнера SRBMiner на хостах Docker для незаконного майнинга XRP, криптовалюты, разработанной Ripple Labs.

Злоумышленник в этой атаке использует методы gRPC в Docker для выполнения таких важных операций, как проверка работоспособности, синхронизация файлов, аутентификация, управление секретами и переадресация по SSH. Эти методы позволяют клиентам эффективно управлять средами Docker, но, попав не в те руки, они могут быть использованы для совершения вредоносных действий. Злоумышленник загружает SRBMiner с GitHub, размещает его в определенных каталогах и инициирует процесс майнинга, предоставляя адрес своего криптовалютного кошелька и публичный IP-адрес, скрывая свою деятельность за операцией майнинга криптовалюты.

Этот инцидент подчеркивает важность тщательного обеспечения безопасности контейнерных платформ, таких как Docker. Хотя эти платформы обладают значительными преимуществами при разработке приложений, они также могут создавать уязвимости в системе безопасности, если не защищены должным образом. Киберпреступники могут использовать такие функции, как API удаленного управления, для развертывания криптоминеров и незаконного майнинга криптовалют, как показано в этой атаке с использованием gRPC через h2c.

Trend Micro подчеркивает необходимость раннего обнаружения угроз с помощью автоматизированного сканирования образа контейнера и реестра, что позволяет пользователям оперативно выявлять и устранять потенциальные угрозы. Кроме того, такие методы, как машинное обучение и виртуальное внесение исправлений, могут помочь защитить рабочие нагрузки как от известных, так и от неизвестных угроз. Клиенты Trend Micro могут получать доступ к аналитическим отчетам и информации об угрозах в Trend Micro Vision One, что позволяет им активно защищать свои среды, понимать возникающие угрозы и эффективно реагировать на вредоносные действия. Используя аналитические данные об угрозах, организации могут опережать возникающие киберугрозы и укреплять свою систему безопасности.

#ParsedReport #CompletenessMedium
21-10-2024

Akira ransomware continues to evolve

https://blog.talosintelligence.com/akira-ransomware-continues-to-evolve

Report completeness: Medium

Threats:
Akira_ransomware
Credential_harvesting_technique
Shadow_copies_delete_technique
Megazord
Credential_dumping_technique

Victims:
Latin american airline

Industry:
Aerospace, Critical_infrastructure

Geo:
Latin american

CVEs:
CVE-2023-20263 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco hyperflex hx data platform (5.0, 5.5)

CVE-2023-48788 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet forticlient enterprise management server (le7.0.10, le7.2.2)

CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam backup & replication (11.0.1.1261, 12.0.0.1420)

CVE-2020-3259 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco firepower threat defense (<6.2.3.16, <6.3.0.6, <6.4.0.9, <6.5.0.5)
- cisco adaptive security appliance software (<9.8.4.20, <9.9.2.67, <9.10.1.40, <9.12.3.9, <9.13.1.10)

CVE-2024-40766 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sonicos (<5.9.2.14-13o)

CVE-2024-40711 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam backup & replication (<12.2.0.334)

CVE-2023-20269 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (6.2.3, 6.2.3.1, 6.2.3.2, 6.2.3.3, 6.2.3.4)

CVE-2024-37085 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware cloud foundation (le5.2)
- vmware esxi (7.0, 8.0)


ChatGPT TTPs:
do not use without manual check
T1486, T1078, T1190, T1203, T1059.001, T1566, T1027, T1548

IOCs:
File: 4
Hash: 37

Soft:
Linux, ESXi, SonicOS, AnyConnect, Active Directory, Linux ESXi, Windows Defender Credential Guard, Local Security Authority

Algorithms:
chacha20

Languages:
rust, powershell, swift

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Группа программ-вымогателей Akira развивает и совершенствует свою тактику, переключая внимание с шифрования на утечку данных, разрабатывая новые версии своего шифровальщика-вымогателя и изучая различные методы программирования, чтобы максимально эффективно использовать их в своих попытках вымогательства. Также было замечено, что они нацелены на уязвимости в сетевых устройствах и программном обеспечении, и ожидается, что они продолжат использовать наиболее уязвимые места, усиливая свою модель двойного вымогательства. В будущих кампаниях группа, вероятно, нацелится на среды ESXi и Linux от VMware, поскольку они широко распространены в корпоративной инфраструктуре.
-----

Группа программ-вымогателей Akira развивает и совершенствует свою тактику, чтобы сохранить свои позиции в качестве заметной угрозы в сфере кибербезопасности. Данные Cisco Talos указывают на то, что Akira активно разрабатывает новые версии своего шифровальщика-вымогателя, переключая внимание с шифрования на фильтрацию данных. Считается, что это изменение тактики является результатом переоснащения разработчиками своего шифровальщика для расширения его возможностей.

Было замечено, что операторы Ransomware-as-a-Service (RaaS) компании Akira разрабатывают Rust-вариант своего ESXi-шифровальщика, отходя от традиционного использования C++ и изучая различные методы программирования. Используя надежные методы шифрования и уделяя особое внимание краже данных, Akira стремится максимально эффективно использовать свои возможности в борьбе с вымогательством. Переход группы к ранее эффективной стратегии после языковой модификации версии 2 означает, что компания уделяет особое внимание стабильности и эффективности своей партнерской деятельности.

Филиалы Akira активно используют уязвимости для первоначального доступа, используют CVE для взлома сети, повышения привилегий и перемещения в уязвимых средах. Группа занимается устранением различных уязвимостей в сетевых устройствах и программном обеспечении, включая эксплойты в сервисах Cisco и FortiClientEMS.

В последние месяцы было замечено, что Akira переключается с одного варианта шифрования на другой, возможно, возвращаясь к использованию шифровальщиков для Windows и Linux, написанных на C++. Этот переход предполагает стратегический выбор в пользу приоритета стабильности и надежности над инновациями. Использование образцов программ-вымогателей с расширением ".akira" и уведомлениями о требовании выкупа "akira_readme.txt" соответствует прежней тактике группы, что указывает на намеренное возвращение к ранее эффективным методам.

Заглядывая в будущее, ожидается, что Akira продолжит использовать наиболее уязвимые места, одновременно усиливая свою модель двойного вымогательства, чтобы увеличить возможности получения выкупа. Исследование языка программирования Rust для Linux-шифровальщиков демонстрирует готовность группы экспериментировать с системами кодирования для разработки устойчивых вариантов программ-вымогателей. Сохраняя адаптивность и ориентируясь на эффективность, Akira, скорее всего, в будущих кампаниях будет использовать среды ESXi и Linux от VMware, поскольку они широко используются в корпоративной инфраструктуре и хранилищах критически важных данных.