#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что программы-вымогатели, особенно от таких групп, как Lorenz, представляют значительную угрозу для малого и среднего бизнеса по всему миру. В тексте освещаются последние тактики, применяемые компанией Lorenz, такие как тактика двойного вымогательства и изменения в расширении шифрования, а также подчеркивается важность того, чтобы организации сохраняли бдительность и адаптировали свои средства защиты от кибербезопасности для противодействия растущим угрозам со стороны программ-вымогателей.
-----

Программы-вымогатели, постоянная угроза в киберпространстве, продолжают представлять значительный риск для малого и среднего бизнеса по всему миру, а такие группы, как Lorenz, активно используют уязвимости для получения финансовой выгоды. В начале 2021 года Лоренц начал применять тактику двойного вымогательства, когда они извлекают конфиденциальные данные перед шифрованием систем и требуют выплаты выкупа под угрозой публичной утечки данных. Недавно команда NCC Group по цифровой криминалистике и реагированию на инциденты (DFIR) в регионе APAC провела расследования, которые выявили существенные изменения в тактике, методах и процедурах Лоренца (TTP), подчеркнув эволюционирующие стратегии группы.

Одним из ключевых изменений в недавней деятельности Lorenz является изменение их расширения для шифрования. Ранее известная использованием таких расширений, как Lorenz.sz40 или .sz40, группа была идентифицирована с использованием нового расширения .sz41 в результате недавнего компромисса. Хотя это может показаться незначительной деталью, эти расширения часто служат подписью группы, что делает это изменение значительным. Более того, изменение расширения шифрования может указывать на изменения в методах шифрования, используемых группой.

Поскольку группы программ-вымогателей постоянно адаптируют свою тактику, организациям настоятельно рекомендуется сохранять бдительность и соответствующим образом корректировать свои средства защиты от кибербезопасности. Недавнее расследование, проведенное NCC Group, подчеркивает важность постоянного мониторинга и анализа для упреждающего реагирования на угрозы программ-вымогателей. Получая представление о недавних изменениях в деятельности Lorenz, предприятия и специалисты по кибербезопасности могут повысить свою готовность к выявлению ранних признаков атак программ-вымогателей и эффективному снижению связанных с ними рисков.

#ParsedReport #CompletenessLow
22-02-2024

Decrypted: HomuWitch Ransomware

https://decoded.avast.io/threatresearch/decrypted-homuwitch-ransomware

Report completeness: Low

Threats:
Homuwitch
Smokeloader

Industry:
Financial

Geo:
Indonesia, Poland, Netherlands, Germany, Russia

ChatGPT TTPs:
do not use without manual check
T1486, T1027, T1566, T1204, T1485, T1071, T1105

IOCs:
Hash: 11
IP: 4

Crypto:
monero

Algorithms:
sha256, aes-cbc

Links:
https://github.com/avast/ioc/tree/master/HomuWitch

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в уникальном штамме программы-вымогателя под названием HomuWitch, который нацелен на отдельных лиц, а не на учреждения, сохраняет скрытность, использует комбинацию шифрования и сжатия для шифрования файлов, имеет уязвимость, позволяющую жертвам расшифровывать файлы без уплаты выкупа, и работает через инфраструктуру ЧПУ, расположенную в основном в Европа. Постоянный мониторинг и анализ необходимы в связи с возможностью использования новых методов шифрования и необходимостью дальнейшего дешифрования в нестандартных случаях.
-----

HomuWitch - это уникальная разновидность программ-вымогателей, появившаяся в июле 2023 года, отличающаяся своей ориентацией на отдельных конечных пользователей, а не на учреждения и компании. В отличие от многих других разновидностей программ-вымогателей, HomuWitch удалось сохранить относительно низкий профиль с точки зрения распространенности и сумм выплат выкупа, оставаясь незамеченным. Расследование этой угрозы выявило уязвимость, которая позволила создать бесплатный инструмент дешифрования, помогающий жертвам восстанавливать свои файлы без необходимости платить выкуп. В настоящее время этот инструмент публикуется публично, чтобы помочь пострадавшим лицам, и, несмотря на недавнее снижение активности HomuWitch, необходим постоянный мониторинг этой угрозы.

Программа-вымогатель закодирована на C# .NET, а ее название получено из информации о версии двоичного файла. Типичный способ заражения предполагает, что жертвы подвергаются воздействию через черный ход SmokeLoader, замаскированный под пиратское программное обеспечение. После заражения устанавливается вредоносный дроппер, который в конечном итоге запускает программу-вымогатель HomuWitch в системе жертвы. Основные места, где были зарегистрированы случаи заражения, находятся в Польше и Индонезии.

HomuWitch выделяется своим подходом к шифрованию файлов, использующим комбинацию алгоритма Deflate для сжатия и алгоритма AES-CBC для шифрования. Этот метод приводит к тому, что файлы одновременно сжимаются и шифруются, на что указывает расширение .homuencrypted, добавляемое к именам файлов. В то время как большинство программ-вымогателей сосредоточены исключительно на шифровании файлов, HomuWitch делает все возможное, включая сжатие файлов, что делает зашифрованные файлы меньше оригиналов. Примечательно, что была выявлена уязвимость в процессе шифрования, позволяющая жертвам извлекать все свои файлы без выполнения требования о выкупе. Однако возможность появления новых или неизвестных образцов с использованием различных методов шифрования подчеркивает необходимость дальнейшего анализа для расшифровки потенциально нестандартных случаев.

Для осуществления своей деятельности HomuWitch опирается на инфраструктуру управления (CnC), расположенную в основном в Европе. Перед шифрованием программа-вымогатель отправляет личную информацию на свои серверы CnC, а после шифрования уведомление о выкупе либо извлекается с сервера, либо сохраняется в образцах ресурсов программы-вымогателя. Суммы выкупа обычно находятся в диапазоне от 25 до 70 долларов, при этом ожидается, что оплата будет произведена в криптовалюте Monero. Пример типичной записки с требованием выкупа HomuWitch содержит инструкции для жертв предоставить оригинальный и зашифрованный файл с возможностью ввода пароля шифрования, если таковой имеется. Процесс взлома пароля инициируется для определения правильного ключа дешифрования с использованием всех известных паролей HomuWitch.

#ParsedReport #CompletenessMedium
22-02-2024

8220 Gang Cryptomining Campaign Targets Linux & Windows Platforms. Sign up here:

https://www.uptycs.com/blog/8220-gang-cryptomining-cloud-based-infrastructure-cyber-threat

Report completeness: Medium

Actors/Campaigns:
8220_gang (motivation: cyber_criminal, information_theft)

Threats:
Dll_sideloading_technique
Uac_bypass_technique
Sysrv_botnet
Process_injection_technique
Masscan_tool
Massscan_tool
Upx_tool
Zgrab_scanner_tool
Tsunami_botnet
Ircbot

Geo:
Chinese

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
- atlassian confluence server (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1562, T1059, T1574, T1088, T1112, T1055, T1133, T1496, T1197, have more...

IOCs:
File: 7
Hash: 4
IP: 6

Soft:
Windows PowerShell, Event Tracing for Windows, Windows security, Windows Defender, SELinux, curl

Algorithms:
aes, gzip, base64, md5

Functions:
Createservices, makecron

Win API:
AMSIscanBuffer, EtwEventWrite, CreateDirectory

Languages:
powershell, rust, golang, python

Links:
https://github.com/theaog/spirit/tree/master
https://github.com/uptycslabs/IOCs/blob/main/8220Gang

#ParsedReport #ExtractedSchema

Classified images:
chart: 2, schema: 1, code: 16, windows: 4, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается возрождение хорошо известной китайской группы исполнителей угроз, the 8220 Gang, с новой кампанией, нацеленной на облачную инфраструктуру, с мая 2023 по февраль 2024 года. Эта кампания демонстрирует их продвинутую тактику, такую как использование уязвимостей как на платформах Linux, так и на Windows, использование сложных методов уклонения и сосредоточение внимания на деятельности по криптомайнингу. Развивающийся подход группы представляет серьезную угрозу для организаций, полагающихся на облачную инфраструктуру, подчеркивая необходимость усиления мер безопасности для борьбы с их сложными технологиями.
-----

Банда 8220, хорошо известная китайская группа исполнителей угроз, вновь появилась с новой кампанией, посвященной облачной инфраструктуре, которая продлится с мая 2023 по февраль 2024 года. Эта кампания демонстрирует переход группы к более изощренной тактике, нацеленной на такие уязвимости, как CVE-2021-44228 и CVE-2022-26134 как на платформах Linux, так и Windows. Используя интернет-сканирование в поисках уязвимых приложений, банда получает несанкционированный доступ к облачным системам, используя незащищенные уязвимости. Оказавшись внутри, они используют передовые методы обхода, такие как отключение принудительного обеспечения безопасности и изменение правил брандмауэра. Такая эволюция их подхода представляет серьезную угрозу для организаций, полагающихся на облачную инфраструктуру, и подчеркивает необходимость усиления мер безопасности.

В этой последней кампании банда 8220 использует Windows PowerShell для выполнения без файлов, что приводит к развертыванию криптоминера. Группа использует новые методы, такие как боковая загрузка библиотеки DLL, обход контроля учетных записей пользователей (UAC) и модификация AMSIscanBuffer и ETWEventWrite для оптимизации скрытности и уклонения. Эта тактика демонстрирует изобретательность группы в обходе мер безопасности и отличает эту кампанию от предыдущих случаев. Что касается Linux, основное внимание по-прежнему уделяется криптоджекингу, при этом группа использует знакомые инструменты, такие как masscan и spirit для разведки, но обновляет их до более новых версий.

Тактика, используемая бандой 8220 в системах Windows, включает в себя различные методы обхода антивирусных систем и систем обнаружения конечных точек, наряду с использованием атак без файлов и дополнительной загрузки DLL. Они исправляют такие функции, как AmsiScanBuffer, чтобы обойти механизмы безопасности и избежать обнаружения. Группа также использует такие методы, как создание каталога с конечным разделителем, используя API CreateDirectory с префиксом unc, чтобы обойти ограничения Windows, с последующим выполнением законной программы, подверженной боковой загрузке DLL.

Выполнение полезной нагрузки включает в себя сложные этапы, включая PowerShell для выполнения без файлов, развертывание криптоминера и использование новых методов обхода. Сосредоточенность группы на системах Windows демонстрирует их способность адаптировать и совершенствовать свою тактику для эффективного обхода мер безопасности. Их кампания в Linux в первую очередь направлена на криптоджекинг, использующий сценарии оболочки для загрузки вредоносных программ и майнеров, с акцентом на разведку и распространение.

В то время как кампания банды 8220 в Linux претерпела незначительные изменения, их кампания в Windows демонстрирует значительные улучшения в тактике и методах уклонения. Организации должны сохранять бдительность, регулярно обновлять системы безопасности и обучать пользователей передовым методам кибербезопасности, чтобы смягчить возникающие угрозы, исходящие от таких групп, как банда 8220. Надежные антивирусные решения, регулярное обновление программного обеспечения, обучение пользователей, фильтрация электронной почты, мониторинг сети и резервное копирование данных являются важными мерами для повышения уровня безопасности от таких сложных угроз.

#ParsedReport #CompletenessMedium
22-02-2024

Web3 Crypto Malware: Angel Drainer From Phishing Sites to Malicious Injections

https://blog.sucuri.net/2024/02/web3-crypto-malware-angel-drainer.html

Report completeness: Medium

Actors/Campaigns:
Darkhotel
Turla

Threats:
Angel_drainer
Socgholish_loader
Pandora
Rilide

Industry:
Financial, Education, Petroleum

Geo:
Moscow, Bulgaria, Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1190, T1059, T1199, T1547, T1574, T1600, T1583, T1584

IOCs:
Url: 7
Domain: 43
IP: 4
File: 4
Coin: 2

Soft:
WordPress

Wallets:
metamask

Crypto:
bitcoin, ethereum, binance, apecoin, chainlink

Algorithms:
xor, base64

Win API:
Polygon

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается всплеск атак со стороны новой формы вредоносного ПО для веб-сайтов, нацеленного на Web3 и криптовалютные активы, использующего криптодрейнеры для кражи и перераспределения активов. В нем освещается рост вредоносных программ, связанных с криптографией, и веб-взломов, особое внимание уделяется вредоносному ПО Angel Drainer, его механизмам и последствиям для владельцев веб-сайтов. Подчеркивается важность бдительности и упреждающих мер безопасности для устранения развивающихся киберугроз в экосистеме Web3.
-----

Всплеск атак со стороны новой формы вредоносного ПО для веб-сайтов, нацеленного на Web3 и криптовалютные активы, с января 2024 года.

Использование криптодрейнеров в этих атаках для кражи и перераспределения активов из скомпрометированных кошельков.

Angel Drainer - известный криптодрейнер, вызывающий нарушения безопасности в экосистеме Web3.

Более 20 000 уникальных фишинговых сайтов Web3, созданных злоумышленниками в 2023 году.

Проверка сайта выявила самый массовый вариант использования Angel Drainer на более чем 550 сайтах в феврале.

Рост криптовалют и блокчейн-технологий привлекает киберпреступников для разработки вредоносных программ, связанных с криптографией, и веб-взломов.

Экосистема Web3 становится мишенью для киберпреступников из-за вовлеченности пользователей и финансовых транзакций.

Angel Drainer обманывает посетителей веб-сайта, заставляя их подключать кошельки к вредоносным сайтам для доступа к средствам и их перевода.

Рекомендации для владельцев веб-сайтов по защите от заражения вредоносными программами включают регулярные обновления, надежные пароли, резервные копии и брандмауэры.

Денис Синегубко, старший исследователь вредоносных программ Sucuri, анализирует возникающие угрозы и создает решения для обеспечения безопасности.

#ParsedReport #CompletenessHigh
22-02-2024

Cisco Talos Blog. TinyTurla-NG in-depth tooling and command and control analysis

https://blog.talosintelligence.com/tinyturla-ng-tooling-and-c2

Report completeness: High

Actors/Campaigns:
Turla

Threats:
Tinyturla-ng
Credential_harvesting_technique
Chisel_tool
Turlapower-ng
Upx_tool

Victims:
Polish ngos

Industry:
Ngo

Geo:
Polish

ChatGPT TTPs:
do not use without manual check
T1105, T1059, T1071, T1041, T1552, T1557, T1110, T1027, T1150, T1068, have more...

IOCs:
Path: 7
IP: 2
Domain: 8
File: 1
Command: 1
Hash: 5

Soft:
WordPress, Google Chrome, Microsoft Edge

Algorithms:
zip, base64

Functions:
exec, passthru, system, shell_exec

Languages:
powershell, golang, php

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/02
https://github.com/jpillora/chisel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в выявлении и анализе новых вредоносных компонентов, используемых группой Turla Advanced Persistent Threat (APT), с акцентом на функционирование сценариев command and control (C2), развертывании бэкдоров, команд PowerShell и дополнительных вредоносных модулей. Исследование, проведенное Cisco Talos и CERT.НПО раскрывает внутреннюю работу скриптов C2, как работают различные вредоносные компоненты, а также использование группой Turla нескольких семейств вредоносных программ и тактик для поддержания связи и осуществления вредоносных действий.
-----

Новые вредоносные компоненты, используемые группой Turla Advanced Persistent Threat (APT), идентифицированные Cisco Talos и CERT.NGO.

Анализ раскрывает подробную информацию о действиях после взлома, командах PowerShell для перечисления и эксфильтрации, а также о трех дополнительных вредоносных модулях, развернутых Turla.

Развертывание модифицированного агента/клиента Chisel, связь с отдельным сервером C2, использование нескольких вариантов вредоносных программ, таких как TinyTurla-NG и TurlaPower-NG.

Раскрыта внутренняя работа скриптов C2, включая компонент WebShell для удаленного администрирования.

Возможности веб-оболочки позволяют выполнять команды, основанные на конкретных условиях, взаимодействовать с имплантатами и выполнять различные операции, такие как декодирование base64 и обработка файлов.

Модульные команды PowerShell, используемые для разведки, перечисления файлов, эксфильтрации, нацеливания на конкретные файлы и документы, представляющие интерес.

Развертывание инструмента повышения привилегий, скрипта для сбора данных для входа в систему из браузеров Microsoft Edge.

Наличие модифицированного инструмента туннелирования Chisel на базе GoLang для установления обратного SOCKS-прокси-соединения с сервером C2 подчеркивает сложный подход Turla к коммуникации и операционной безопасности.

#ParsedReport #CompletenessLow
23-02-2024

Technical Advisory: Critical ConnectWise ScreenConnect Authentication Bypass. Vulnerability Details

https://www.bitdefender.com/blog/businessinsights/technical-advisory-critical-connectwise-screenconnect-authentication-bypass

Report completeness: Low

Threats:
Connectwise_rat
Screenconnect_tool

CVEs:
CVE-2024-1708 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8)


ChatGPT TTPs:
do not use without manual check
T1078, T1550, T1068, T1222, T1190, T1553, T1105

IOCs:
File: 1
Hash: 3

Algorithms:
md5

Platforms:
x86

Links:
https://github.com/W01fh4cker/ScreenConnect-AuthBypass-RCE/blob/main/ScreenConnect-AuthBypass-RCE.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
ConnectWise выпустила исправление безопасности для устранения критических уязвимостей в программном обеспечении ScreenConnect, направленное на предотвращение атак удаленного выполнения кода (RCE). Уязвимости, включая обход аутентификации и обход пути, создают значительные риски, позволяя осуществлять несанкционированный доступ и повышение привилегий. Активная реакция ConnectWise отражает их приверженность повышению безопасности программного обеспечения и защите пользовательских данных. Организациям следует проявлять бдительность в отношении потенциальной эксплуатации и учитывать конкретные показатели компрометации для укрепления своей позиции в области кибербезопасности.
-----

Недавно, 19 февраля 2024 года, ConnectWise выпустила исправление для системы безопасности, направленное на устранение двух критических уязвимостей в программном обеспечении ScreenConnect, которые потенциально могут привести к удаленному выполнению кода (RCE). Выявленные уязвимости, а именно CVE-2024-1709 и CVE-2024-1708, представляют значительные риски, позволяя злоумышленникам обходить механизмы аутентификации и выполнять обход пути, что может привести к несанкционированному доступу и повышению административных привилегий.

CVE-2024-1709 с оценкой CVSS 10,0 предполагает обход аутентификации с использованием альтернативного пути или канала (CWE-288). Эта уязвимость предоставляет злоумышленникам возможность обойти процесс аутентификации, получив несанкционированный доступ в систему. С другой стороны, CVE-2024-1708, оцененный в 8,4 балла по шкале CVSS, относится к неправильному ограничению пути к каталогу с ограниченным доступом, широко известному как "обход пути" (CWE-22). Этот недостаток может быть использован для манипулирования путями к файлам и доступа к каталогам с ограниченным доступом, что потенциально позволяет злоумышленникам повышать привилегии в системе.

Примечательно, что ConnectWise стремится повысить уровень безопасности своего программного обеспечения, оперативно выпустив это обновление для системы безопасности, чтобы устранить выявленные уязвимости и защитить пользователей от потенциальной эксплуатации. Проактивный подход компании отражает приверженность обеспечению целостности и конфиденциальности пользовательских данных и системных ресурсов.

Кроме того, детальный анализ и данные телеметрии выявили тенденции в потенциальных векторах атак, связанных с программным обеспечением ScreenConnect. В частности, были замечены случаи, когда субъекты угроз использовали папку расширений ScreenConnect, расположенную по адресу %ProgramFiles(x86)%\ScreenConnect\App_Extensions. В то время как в предыдущих отчетах подчеркивалась уязвимость этой папки для загрузки файлов на корневом уровне, недавние наблюдения указывают на то, что злоумышленники используют стандартные расширения внутри каталога.

Несмотря на ограниченный доступ к этим файлам для углубленного анализа, триггеры обнаружения, в частности, идентифицированные как Generic.Cert.Downloader.1, предполагают наличие загрузчика, использующего встроенный инструмент certutil.exe. Злоумышленники обычно используют этот инструмент с такими аргументами, как -urlcache или -f, чтобы облегчить загрузку дополнительных вредоносных программ в систему жертвы. Время проведения этих атак в сочетании с использованием случайно сгенерированных имен файлов указывает на потенциальное соответствие опубликованным доказательствам концепций (POC), что повышает серьезность ландшафта угроз.

В ответ на эти возникающие угрозы организациям следует сохранять бдительность и учитывать следующие признаки компрометации, чтобы укрепить свою систему безопасности и защититься от потенциальной эксплуатации:.

#ParsedReport #CompletenessLow
23-02-2024

LockBit Attempts to Stay Afloat With a New Version. Recent LockBit issues and difficulties

https://www.trendmicro.com/en_us/research/24/b/lockbit-attempts-to-stay-afloat-with-a-new-version.html

Report completeness: Low

Threats:
Lockbit
Rhadamanthys
Spacecolon
Blackcat
Noescape
Revil
Wazawaka_actor
Conti

Industry:
Financial, Semiconductor_industry

Geo:
Ukraine, Taiwan

ChatGPT TTPs:
do not use without manual check
T1588.002, T1027, T1071, T1486, T1027, T1583.001, T1027, T1485, T1587.002

IOCs:
Hash: 1

Soft:
ESXi

Links:
https://github.com/3xp0rt/LockBit-Tattoo

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ влияния утечек и инцидентов внутренней безопасности на группу программ-вымогателей LockBit, снижение их влияния с течением времени, проблемы, с которыми сталкиваются при поддержании филиалов, ключевых лиц, связанных с группой, и разработка нового, не зависящего от платформы варианта вредоносного ПО с маркировкой LockBit-NG-Разработчик сигнализирует о переходе к версии LockBit 4.0.
-----

Исследование, описанное в тексте, является результатом сотрудничества между автором и Национальным агентством по борьбе с преступностью Соединенного Королевства, направленного против группы программ-вымогателей LockBit, в рамках операции Cronos - международных усилий, направленных на подрыв деятельности преступных организаций. Группа LockBit столкнулась с внутренними инцидентами безопасности, вызванными утечками информации с участием недовольных разработчиков или членов группы, что привело к разоблачению их разработчика программ-вымогателей в сентябре 2022 года. Утечка этой сборки оказала значительное влияние, поскольку способствовала появлению групп подражателей, таких как Flamingo и Spacecolon, которые использовали утечку полезной нагрузки LockBit, усложняя атрибуцию и ослабляя технические преимущества LockBit.

Утечка сборки также снизила барьер для входа преступников в свои предприятия RaaS путем клонирования операции LockBit, что создает проблемы с атрибуцией. Репутация бренда LockBit пострадала после утечки, что вызвало опасения по поводу их внутренних мер безопасности и снижения доверия со стороны аффилированных лиц. Усилия LockBit по удержанию и привлечению партнеров столкнулись с такими препятствиями, как технические проблемы, отсутствие инноваций, операционные задержки и неблагоприятные правила для партнеров. Кроме того, LockBitSupp подверглась пристальному вниманию общественности в январе 2024 года после обвинений в отказе платить за доступ, что привело к выплате средств вымогателями, в ответ на что они проявили предполагаемое высокомерие, которое потенциально нанесло ущерб их репутации и отношениям.

Подтвержденные данные о взломах указывают на устойчивое снижение воздействия программ-вымогателей LockBit за последние два года, несмотря на сохранение заметного положения среди наборов вторжений со значительным количеством атак. Переход от LockBit 2.0 к LockBit 3.0 был отмечен снижением доли, при этом небольшой рост наблюдался в четвертом квартале 2023 года, что объясняется усилением деятельности правоохранительных органов в отношении конкурирующих групп. В этот период LockBit предоставляла возможности филиалам перейти к своей деятельности.

В тексте рассматриваются ключевые лица, связанные с группой LockBit, включая псевдонимы и персонажей, таких как LockBit, LockBitSupp, Bassterlord и wazawaka. Примечательно, что Bassterlord, видная фигура в сообществе киберпреступников, по-видимому, связана с LockBit и причастна к громким атакам. В тексте также упоминается принадлежность вазаваки к LockBit и их обвинительное заключение Министерством юстиции США в мае 2023 года. Неизвестный субъект, Ali_qushji, утверждал, что скомпрометировал серверную инфраструктуру LockBit, хотя LockBitSupp оспорил это утверждение, приписав утечку недовольному разработчику, известному как protonleaks.

В тексте представлена новая эволюция LockBit, представленная не зависящим от платформы вариантом вредоносного ПО, находящимся в разработке, с надписью LockBit-NG-Dev, что означает работу группы над версией LockBit 4.0. Этот новый вариант использует .NET и CoreRT для улучшения совместимости с платформой, хотя его возможности в настоящее время меньше, чем в предыдущих версиях. LockBit-NG-Dev удалил самораспространяющиеся функции и сложные механизмы управления, чтобы усилить оперативный контроль и избежать обнаружения системами безопасности.

#ParsedReport #CompletenessLow
23-02-2024

Rhysida Ransomware Group, Which Crippled the British Library Racking Up 6 to 7 Million in Recovery Costs, Turns Its Wrath on Hospitals, Power Plants, and Schools in the UK, Europe, and the Middle East, Warns eSentire

https://www.esentire.com/blog/rhysida-ransomware-group-turns-its-wrath-warns-esentire

Report completeness: Low

Actors/Campaigns:
Vice_society (motivation: financially_motivated)

Threats:
Rhysida
Lockbit
Clop
X-ray_tool
Process_injection_technique
Nltest_tool
Putty_tool
Anydesk_tool
Zerologon_vuln

Victims:
British library, Hse, King edward vii’s hospital, Prospect medical holdings, World council of churches, A high school in london, A vocational training school in the u.k., Kaunas university of technology, Tshwane university of technology, Abdali hospital, have more...

Industry:
Healthcare, Military, Education, Government, Financial, Energy

Geo:
England, America, Italy, Slovenia, Apac, Africa, Switzerland, Lithuania, Hungary, Emea, Jordan, Serbia, Qatar, London

ChatGPT TTPs:
do not use without manual check
T1486, T1485, T1496, T1567, T1071, T1027, T1087, T1059, T1046, T1021, have more...

IOCs:
File: 2

Soft:
Microsoft Teams

Crypto:
bitcoin

Algorithms:
chacha20

Languages:
powershell