#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в эволюционирующей тактике группы вымогателей BianLian, в частности, в их переходе к операциям, основанным на вымогательстве, и использовании бэкдора PowerShell для проведения действий после эксплуатации в сетях жертв. В тексте подчеркивается адаптивность группы при использовании уязвимостей, важность готовности и упреждающих мер защиты, а также необходимость для организаций оставаться в курсе событий, проводить пентесты и адаптироваться к меняющимся угрозам, чтобы усилить защиту от распространенных субъектов угроз, таких как BianLian, в ландшафте киберугроз.
-----

В январе 2023 года Avast выпустила дешифратор для группы вымогателей BianLian, что привело к переходу группы к операциям, основанным на вымогательстве.

Команда DFIR обнаружила вредоносную активность в сети клиента, исходящую от скомпрометированного сервера TeamCity, используя CVE-2024-27198 / CVE-2023-42793.

Threat actor использовал различные тактики, включая использование команд Windows, развертывание законных файлов и использование пакета PowerShell от FuzzySecurity для сброса учетных данных.

Threat actor использовал бэкдор PowerShell для связи с сервером C2 через потоки SSL, TCP-сокеты и пулы Runspace для удаленных операций.

Бэкдор PowerShell ссылался на IP-адрес, связанный с бэкдором BianLian GO, подтверждая, что это реализация PowerShell.

Компания BianLian продемонстрировала адаптивность в использовании уязвимостей и разработке тактики на период с 2023 по 2024 год, подчеркивая важность готовности, исправления уязвимостей и использования информации об угрозах для защиты.

Рекомендации включают в себя постоянное информирование, проведение пентестов на основе анализа угроз и адаптацию к меняющимся угрозам для усиления защиты от таких субъектов угрозы, как BianLian.

Интересная статья по разбору прошивки FortiGate. В конце рассказывают как сделать свою кастомку с "доп нагрузкой"

https://www.optistream.io/blogs/tech/fortigate-firmware-analysis

#ParsedReport #CompletenessMedium
12-03-2024

BIPClip: Malicious PyPI packages target crypto wallet recovery passwords

https://www.reversinglabs.com/blog/bipclip-malicious-pypi-packages-target-crypto-wallet-recovery-passwords

Report completeness: Medium

Actors/Campaigns:
Bipclip (motivation: cyber_criminal)

Threats:
Typosquatting_technique
Supply_chain_technique

Victims:
Developers working on projects related to generating and securing cryptocurrency wallets

Industry:
Financial, Healthcare

Geo:
Dprk, Korea, Korean

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1195, T1566.001, T1552, T1583, T1547.001, T1071, T1027, T1105, T1036, T1589, have more...

IOCs:
Url: 2
Registry: 1
Hash: 38
IP: 3

Crypto:
bitcoin, ethereum

Algorithms:
base64

Languages:
python

Links:
https://github.com/ethereum/eth-account
hxxps://github.com/HashSnake/hCrypto
https://github.com/ethereum
https://github.com/HashSnake
https://github.com/bitcoin/bips/blob/master/bip-0039.mediawiki#user-content-Abstract

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: ReversingLabs выявила новую вредоносную кампанию под названием BIPClip, которая нацелена на криптовалютные кошельки путем кражи мнемонических фраз для восстановления. Кампания включает в себя несколько замаскированных пакетов в индексе пакетов Python, используя такие тактики, как использование зависимостей вредоносных файлов и присвоение имен, чтобы избежать обнаружения. Злоумышленники стратегически распределили вредоносную функциональность по взаимосвязанным пакетам, сосредоточившись на краже криптовалютных активов без более широкого контроля над системой. Этот инцидент подчеркивает сохраняющуюся угрозу атак на цепочки поставок программного обеспечения, подчеркивая необходимость усиленных мер безопасности, бдительности и тщательной проверки зависимостей в экосистеме криптовалют.
-----

ReversingLabs обнаружила вредоносную кампанию под названием BIPClip, нацеленную на криптовалютные кошельки путем кражи мнемонических фраз, используемых для восстановления.

В кампании участвуют семь пакетов с открытым исходным кодом и 19 версиями в индексе пакетов Python, начиная с декабря 2022 года.

Вредоносная активность включает в себя маскировку внутри кажущихся законными пакетов с использованием таких методов, как вредоносные файловые зависимости и присвоение имен.

Кампания нацелена на разработчиков, работающих над проектами, связанными с криптовалютными кошельками, особенно на тех, кто использует стандарт BIP39 для создания детерминированных биткоин-кошельков.

Первоначальный пакет, mnemonic_to_address, взаимодействует с проектом eth-account для генерации исходных данных кошелька и включает в себя функцию с явно вредоносной функциональностью из второго пакета, bip39_mnemonic_decrypt.

Еще три вредоносных пакета были идентифицированы в марте 2023 года по той же схеме поведения, что и первоначальная пара.

Злоумышленники стратегически распределили вредоносный функционал по взаимосвязанным пакетам, чтобы избежать проверки.

Несмотря на то, что некоторые пакеты были обнаружены и удалены из PyPI, им все же удалось набрать количество загрузок с умеренным эффектом.

Злоумышленники сосредоточились на краже криптовалюты, не пытаясь осуществлять более широкий контроль или боковое перемещение внутри скомпрометированных систем.

Инцидент подчеркивает сохраняющуюся угрозу атак на цепочки поставок программного обеспечения, особенно в отношении криптовалютных активов.

Разработчикам и организациям рекомендуется повысить безопасность цепочки поставок программного обеспечения путем проведения регулярных оценок и проверки сторонних инструментов.

Индивидуальная бдительность имеет решающее значение для защиты крипто-кошельков и конфиденциальной информации от использования киберпреступниками.

#ParsedReport #CompletenessLow
12-03-2024

Ransomware: Attacks Continue to Rise as Operators Adapt to Disruption

https://symantec-enterprise-blogs.security.com/threat-intelligence/ransomware-attacks-exploits

Report completeness: Low

Actors/Campaigns:
Syrphid

Threats:
Qakbot
Lockbit
Blackcat
Clop
Citrix_bleed_vuln
Byovd_technique
Hoptodesk_tool
Conti
Atera_tool
Anydesk_tool
Splashtop_tool
Truesightkiller_tool
Ghostdriver_tool
Stealbit

CVEs:
CVE-2023-4966 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- citrix netscaler application delivery controller (<12.1-55.300, <13.0-92.19, <13.1-37.164, <13.1-49.15, <14.1-8.50)
- citrix netscaler gateway (<13.0-92.19, <13.1-49.15, <14.1-8.50)

CVE-2023-20269 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 5
X-Force: Patch: Official fix
Soft:
- cisco adaptive security appliance software (6.2.3, 6.2.3.1, 6.2.3.2, 6.2.3.3, 6.2.3.4, 6.2.3.5, 6.2.3.6, 6.2.3.7, 6.2.3.8, 6.2.3.9, 6.2.3.10, 6.2.3.11, 6.2.3.12, 6.2.3.13, 6.2.3.14, 6.2.3.15, 6.2.3.16, 6.2.3.17, 6.2.3.18, 6.4.0, 6.4.0.1, 6.4.0.2, 6.4.0.3, 6.4.0.4, 6.4.0.5, 6.4.0.6, 6.4.0.7, 6.4.0.8, 6.4.0.9, 6.4.0.10, 6.4.0.11, 6.4.0.12, 6.4.0.13, 6.4.0.14, 6.4.0.15, 6.4.0.16, 6.6.0, 6.6.0.1, 6.6.1, 6.6.3, 6.6.4, 6.6.5, 6.6.5.1, 6.6.5.2, 6.6.7, 6.6.7.1, 6.7.0, 6.7.0.1, 6.7.0.2, 6.7.0.3, 7.0.0, 7.0.0.1, 7.0.1, 7.0.1.1, 7.0.2, 7.0.2.1, 7.0.3, 7.0.4, 7.0.5, 7.0.6, 7.1.0, 7.1.0.1, 7.1.0.2, 7.1.0.3, 7.2.0, 7.2.0.1, 7.2.1, 7.2.2, 7.2.3, 7.2.4, 7.2.4.1, 7.2.5, 7.3.0, 7.3.1, 7.3.1.1, 9.8.1, 9.8.1.5, 9.8.1.7, 9.8.2, 9.8.2.8, 9.8.2.14, 9.8.2.15, 9.8.2.17, 9.8.2.20, 9.8.2.24, 9.8.2.26, 9.8.2.28, 9.8.2.33, 9.8.2.35, 9.8.2.38, 9.8.3, 9.8.3.8, 9.8.3.11, 9.8.3.14, 9.8.3.16, 9.8.3.18, 9.8.3.21, 9.8.3.26, 9.8.3.29, 9.8.4, 9.8.4.3, 9.8.4.7, 9.8.4.8, 9.8.4.10, 9.8.4.12, 9.8.4.15, 9.8.4.17, 9.8.4.20, 9.8.4.22, 9.8.4.25, 9.8.4.26, 9.8.4.29, 9.8.4.32, 9.8.4.33, 9.8.4.34, 9.8.4.35, 9.8.4.39, 9.8.4.40, 9.8.4.41, 9.8.4.43, 9.8.4.44, 9.8.4.45, 9.8.4.46, 9.8.4.48, 9.12.1, 9.12.1.2, 9.12.1.3, 9.12.2, 9.12.2.1, 9.12.2.4, 9.12.2.5, 9.12.2.9, 9.12.3, 9.12.3.2, 9.12.3.7, 9.12.3.9, 9.12.3.12, 9.12.4, 9.12.4.2, 9.12.4.4, 9.12.4.7, 9.12.4.8, 9.12.4.10, 9.12.4.13, 9.12.4.18, 9.12.4.24, 9.12.4.26, 9.12.4.29, 9.12.4.30, 9.12.4.35, 9.12.4.37, 9.12.4.38, 9.12.4.39, 9.12.4.40, 9.12.4.41, 9.12.4.47, 9.12.4.48, 9.12.4.50, 9.12.4.52, 9.12.4.54, 9.12.4.55, 9.12.4.56, 9.12.4.58, 9.14.1, 9.14.1.6, 9.14.1.10, 9.14.1.15, 9.14.1.19, 9.14.1.30, 9.14.2, 9.14.2.4, 9.14.2.8, 9.14.2.13, 9.14.2.15, 9.14.3, 9.14.3.1, 9.14.3.9, 9.14.3.11, 9.14.3.13, 9.14.3.15, 9.14.3.18, 9.14.4, 9.14.4.6, 9.14.4.7, 9.14.4.12, 9.14.4.13, 9.14.4.14, 9.14.4.15, 9.14.4.17, 9.14.4.22, 9.14.4.23, 9.15.1, 9.15.1.1, 9.15.1.7, 9.15.1.10, 9.15.1.15, 9.15.1.16, 9.15.1.17, 9.15.1.21, 9.16.1, 9.16.1.28, 9.16.2, 9.16.2.3, 9.16.2.7, 9.16.2.11, 9.16.2.13, 9.16.2.14, 9.16.3, 9.16.3.3, 9.16.3.14, 9.16.3.15, 9.16.3.19, 9.16.3.23, 9.16.4, 9.16.4.9, 9.16.4.14, 9.16.4.18, 9.16.4.19, 9.16.4.27, 9.16.4.38, 9.17.1, 9.17.1.7, 9.17.1.9, 9.17.1.10, 9.17.1.11, 9.17.1.13, 9.17.1.15, 9.17.1.20, 9.17.1.30, 9.18.1, 9.18.1.3, 9.18.2, 9.18.2.5, 9.18.2.7, 9.18.2.8, 9.18.3, 9.18.3.39, 9.18.3.46, 9.18.3.53, 9.18.3.55, 9.19.1, 9.19.1.5, 9.19.1.9, 9.19.1.12, 9.19.1.18)

CVE-2022-47966 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine access manager plus (4.3)
- zohocorp manageengine ad360 (<4.3)
- zohocorp manageengine adaudit plus (7.0)
- zohocorp manageengine admanager plus (7.1)
- zohocorp manageengine adselfservice plus (6.2)
have more...

ChatGPT TTPs:
do not use without manual check
T1588.006, T1203, T1210, T1129, T1027, T1557, T1112, T1490, T1567

IOCs:
Hash: 10

Soft:
Microsoft Exchange Server

Links:
https://github.com/MaorSabag/TrueSightKiller

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что, несмотря на небольшое снижение числа публично заявленных атак программ-вымогателей в четвертом квартале 2023 года, активность программ-вымогателей в целом растет, поскольку злоумышленники адаптируют и совершенствуют свою тактику. В статье освещается переход к использованию уязвимостей в качестве основного метода атак программ-вымогателей, обсуждаются известные угрозы программ-вымогателей, такие как LockBit, Noberus и Clop, и подчеркивается важность программ-вымогателей как постоянной и прибыльной угрозы для организаций в 2024 году и в последующий период.
-----

Активность программ-вымогателей неуклонно растет, несмотря на небольшое снижение числа публично заявленных атак со стороны программ-вымогателей в четвертом квартале 2023 года. Злоумышленники быстро адаптировали и усовершенствовали свою тактику, находя новые способы заражения жертв. Анализ данных с сайтов утечки программ-вымогателей показывает, что в 2023 году злоумышленники нацелились на значительно большее число жертв (4700) по сравнению с предыдущим годом (2800). Хотя отключение ботнета Qakbot в июне 2023 года нарушило основной канал распространения вредоносного ПО, злоумышленники переключились на использование уязвимостей в качестве основного вектора атак программ-вымогателей.

LockBit, управляемый киберпреступной группой Syrphid (Bitwise Spider), оставался самой заметной угрозой вымогательства в 2023 году, на долю которой приходится 21% всех заявленных атак на сайты с утечкой данных. За LockBit последовали Noberus (BlackCat, ALPHV) с 9% заявленных атак и Clop с 8%. И LockBit, и Noberus недавно стали мишенями операций правоохранительных органов, что вызывает вопросы о потенциальных долгосрочных последствиях для их деятельности. Интересно, что существует заметная разница между публично заявляемыми уровнями атак и активностью программ-вымогателей, исследованных Symantec. Например, в то время как LockBit был признан ответственным за более чем 21% заявленных атак в 2023 году, Symantec выявила их только примерно в 17% расследованных ими атак.

Недавние расследования программ-вымогателей показывают, что использование известных уязвимостей в общедоступных приложениях в настоящее время является основным методом атак программ-вымогателей. Некоторые из распространенных эксплойтов, использованных в недавних атаках, включают уязвимости в ZOHO ManageEngine, Microsoft Exchange Server, Citrix NetScaler ADC, Citrix NetScaler Gateway, Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD) VPN. Злоумышленники все чаще используют в своих операциях различные инструменты, включая инструменты двойного назначения, такие как BYOVD (Принесите свой собственный уязвимый драйвер), и недавно появившиеся инструменты, такие как HopToDesk, TrueSightKiller, GhostDriver и StealBit.

Заслуживающие внимания методы, используемые злоумышленниками-вымогателями, включают Esentutl для сброса учетных данных и DPAPI для извлечения и расшифровки конфиденциальных учетных данных пользователя. Ожидается, что программы-вымогатели останутся серьезной угрозой для организаций в 2024 году и в последующий период, что обусловлено прибыльным характером атак программ-вымогателей и постоянной адаптивной природой злоумышленников, которые постоянно совершенствуют свою тактику для преодоления сбоев.

#ParsedReport #CompletenessHigh
12-03-2024

Xehook Stealer: Evolution of Cinoshi s Project Targeting Over 100 Cryptocurrencies and 2FA Extensions

https://cyble.com/blog/xehook-stealer-evolution-of-cinoshis-project-targeting-over-100-cryptocurrencies-and-2fa-extensions

Report completeness: High

Threats:
Xehook
Cinoshi
Agniane
Smokeloader
Process_injection_technique
Process_hacker_tool
Netstat_tool
Credential_dumping_technique

Industry:
Telco

Geo:
Moldova, Kyrgyzstan, Uzbekistan, Tajikistan, Azerbaijan, Armenia, Belarus, Russia, Kazakhstan

TTPs:
Tactics: 6
Technics: 10

IOCs:
Url: 6
Hash: 3
File: 7
Coin: 9

Soft:
Chromium, Telegram, Discord, Component object model, VirtualBox, Authy, Aegis, LastPass, KeePass, KeePassXC, have more...

Wallets:
iwallet, wombat, mew_cx, neoline, terra_station, keplr, sollet, iconex, tezbox, byone, have more...

Algorithms:
sha256, zip, xor, exhibit, base64

Functions:
FreeConsole, DownloadString, GetProcesses

Win API:
GetProcAddress, LoadLibraryA, CreateThread, WaitForSingleObject, VirtualProtect, VirtualAlloc, WriteProcessMemory

Win Services:
WebClient

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - обнаружение и анализ Xehook Stealer, сложного вредоносного ПО, нацеленного на системы Windows, с такими возможностями, как сбор данных из браузеров и платформ обмена сообщениями, модель ценообразования на основе подписки, связи с Agniane и проектом Cinoshi, распространение через двоичные файлы SmokeLoader, тактика уклонения и взаимосвязанность с другими приложениями. варианты вредоносных программ, такие как Agniane и Cinoshi, подчеркивают необходимость в стратегиях проактивной защиты перед лицом развивающихся киберугроз.
-----

CRIL обнаружила новую угрозу под названием Xehook Stealer, сложную вредоносную программу на базе .NET, нацеленную на системы Windows.

Xehook Stealer собирает данные из популярных браузеров, поддерживает широкий спектр криптовалют, имеет API для пользовательских ботов трафика и может восстанавливать просроченные файлы cookie Google.

Существуют потенциальные связи между Xehook Stealer, Agniane и проектом Cinoshi, что указывает на прогресс в разработке вредоносного программного обеспечения.

Распространение Xehook Stealer связано с двоичными файлами SmokeLoader, что указывает на активную деятельность по распространению.

Xehook Stealer может собирать пароли, файлы cookie, данные кредитной карты и многое другое из браузеров и платформ обмена сообщениями.

Цены на Xehook Stealer варьируются от 50 до 600 долларов, при наличии дополнительного доступа к API.

Xehook Stealer демонстрирует тактику уклонения, позволяющую избежать обнаружения, включая временные ограничения и методы внедрения процессов.

Взаимосвязь между Xehook Stealer, Agniane и Cinoshi подчеркивает необходимость проактивных стратегий защиты в области кибербезопасности.

#ParsedReport #CompletenessMedium
12-03-2024

VCURMS: A Simple and Functional Weapon

https://www.fortinet.com/blog/threat-research/vcurms-a-simple-and-functional-weapon

Report completeness: Medium

Threats:
Vcurms
Strrat
Virbox_protector_tool
Branchlock_tool
Rude
Zelix_klassmaster_technique
Allatori_technique
Khonsari

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1193, T1204, T1027, T1105, T1059, T1112, T1573, T1562, T1056, have more...

IOCs:
File: 7
Command: 1
Path: 2
Email: 2
Domain: 5
Hash: 5

Soft:
Discord, Chrome, Opera, OperaGX, Vivaldi

Algorithms:
aes, base64

Languages:
powershell, java

Links:
https://github.com/narumii/Deobfuscator

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 7, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: FortiGuard Labs обнаружила сложную фишинговую кампанию, использующую новые трояны удаленного доступа VCURMS и STRRAT, распространяемые через вредоносные загрузчики Java. Злоумышленники использовали общедоступные сервисы, такие как AWS и GitHub, использовали электронную почту в качестве канала командования и контроля через Proton Mail и использовали методы обфускации, чтобы избежать обнаружения. Целью кампании было установить контроль над зараженными системами, собрать конфиденциальные данные и избежать обнаружения продуктами безопасности с помощью различных тактик. Аналитикам по анализу киберугроз следует ознакомиться с VCURMS и STRRAT RATs для улучшения стратегий обнаружения и смягчения последствий.
-----

Лаборатории FortiGuard раскрыли фишинговую кампанию, направленную на распространение новых троянов удаленного доступа VCURMS и STRRAT (RATs) через вредоносный загрузчик Java. Злоумышленники хранили вредоносное ПО в общедоступных сервисах, таких как Amazon Web Services (AWS) и GitHub, используя коммерческий защитник, чтобы избежать обнаружения. Они использовали электронную почту в качестве канала командования и контроля, используя Proton Mail для связи. Злоумышленники рассылали сотрудникам фишинговые электронные письма, якобы связанные с ожидающими платежами, и предлагали жертвам перейти по ссылке, что приводило к загрузке вредоносного JAR-файла с AWS.

Загруженные файлы содержали запутанные строки, причем один класс указывал на намерение программы загрузить и выполнить дополнительные файлы JAR, предоставленные злоумышленником. Вредоносная программа реплицировалась в системной папке автозагрузки, обеспечивая сохраняемость, и связывалась с сервером управления по электронной почте. Вредоносное ПО для кейлоггера и восстановления пароля также было частью кампании, замаскированное под файлы .jpg на AWS и загруженное с помощью команд PowerShell. Вредоносное ПО обладало различными возможностями, включая выполнение команд оболочки и манипулирование файлами.

Основной участник этой кампании, VCURMS, общался со своим командованием по электронной почте, имитировал законные программы, чтобы избежать обнаружения, и хранил кейлоггер в определенном каталоге для фиксации нажатий клавиш. Вторичный RAT, STRRAT, использовал передовые методы обфускации, такие как Allatori и Branchlock, чтобы скрыть свои действия, и включал файл конфигурации, зашифрованный с помощью AES. Атаки были направлены на одновременное развертывание нескольких вредоносных программ, при этом VCURMS фокусировалась на командовании и контроле, а STRRAT - на извлечении данных и наблюдении.

Исполнитель угроз, стоявший за кампанией, использовал сложные методы запутывания и уникальный подход, заключающийся в использовании электронной почты в качестве основного канала связи с сервером командования и контроля. Эта многоэтапная операция по атаке была направлена на установление контроля над зараженными системами, сбор конфиденциальных данных с помощью кейлоггеров и перехватчиков и предотвращение обнаружения средствами безопасности с помощью обфускации. Аналитики по разведке киберугроз должны быть осведомлены об этой тактике и конкретных деталях VCURMS и STRRAT RATs для улучшения стратегий обнаружения и смягчения последствий.

#ParsedReport #CompletenessLow
12-03-2024

Dark Web Profile: Meow Ransomware

https://socradar.io/dark-web-profile-meow-ransomware

Report completeness: Low

Actors/Campaigns:
Meow (motivation: financially_motivated)
Snatch

Threats:
Meow_ransomware
Conti

Victims:
Vanderbilt university medical center

Industry:
Education, Healthcare, Financial

Geo:
Canada, Nigeria, Italy, Singapore, Morocco, Russian

TTPs:
Tactics: 10
Technics: 17

IOCs:
File: 1
Hash: 18

Soft:
Telegram

Algorithms:
sha1, md5, chacha20, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается появление и эволюция вируса-вымогателя Meow, производного от просочившегося вируса-вымогателя Conti. В нем подробно описываются действия, цели, методы шифрования и эволюция группы Meow, подчеркивается переход к продаже данных вместо атак на основе шифрования. Приводятся рекомендации по защите данных и стратегиям смягчения последствий, а также такие инструменты, как SOCRadar. Подчеркивается важность упреждающих мер безопасности для борьбы с развивающимися киберугрозами, такими как те, которые исходят от таких групп, как Meow.
-----

В тексте обсуждается появление и эволюция штамма программы-вымогателя Meow, полученного из просочившегося штамма программы-вымогателя Conti. В конце 2022 года были обнаружены четыре штамма программы-вымогателя, связанных с Conti, и одним из них является программа-вымогатель Meow. Операции программ-вымогателей Meow наблюдались с конца августа по февраль 2023 года, а в марте 2023 года был выпущен бесплатный дешифратор, что привело к прекращению их деятельности. По оценкам Касперского, программа-вымогатель Meow зашифровала данные 257 жертв, 14 из которых заплатили выкуп. Закрытые ключи для расшифровки были сгенерированы в период с ноября 2022 по февраль 2023 года.

Группа Meow продолжила свою деятельность в 2024 году, на данный момент жертвами стали девять человек. Группа, хотя и не подтверждено, что она работает по модели RaaS, нацелилась на различные учреждения, что предполагает сосредоточение внимания на вымогательстве. Недавние жертвы сообщали об извлечении данных без шифрования. Веб-сайт группы под названием Meow Leaks указывает на изменения в их деятельности.

Ранее группа действовала под разными названиями, такими как MeowCorp и MeowLeaks, шифровала данные с использованием алгоритма ChaCha20 и требовала выплаты выкупа по электронной почте или Telegram. В записке с требованием выкупа содержалась фраза МЯУ! МЯУ! МЯУ! и учетные данные для входа в meowcorp2022. Они нацеливались на жертв в разных странах, в первую очередь в США, причем частыми целями были такие отрасли, как здравоохранение и медицинские исследования.

Программа-вымогатель распространялась несколькими способами, включая спам по электронной почте, настройки RDP и вредоносные загрузки. Зашифрованные файлы имели расширение .MEOW. Недавние жертвы, такие как Медицинский центр Университета Вандербильта, сталкивались с кибератаками, но публично не раскрывали подробности. Группа перешла к продаже данных, а не к атакам на основе шифрования, что требует сосредоточения внимания на стратегиях защиты данных и смягчения последствий.

Рекомендации включают в себя надежные политики классификации данных, шифрование конфиденциальных данных, обучение сотрудников угрозам кибербезопасности и стратегию резервного копирования и восстановления. SOCRadar предлагается в качестве инструмента для обнаружения и устранения утечек данных, обеспечивающего соблюдение нормативных требований и всестороннюю аналитику угроз.

Наконец, приведены TTP для анализа штамма программ-вымогателей Meow и потенциальных индикаторов компрометации (IOCs) для группы. В тексте подчеркивается важность сохранения активности в адаптации мер безопасности для борьбы с развивающимися киберугрозами, особенно со стороны таких групп, как Meow.

#ParsedReport #CompletenessLow
12-03-2024

CryptoWire ransomware with decryption key

https://asec.ahnlab.com/ko/62868

Report completeness: Low

Threats:
Cryptowire
Shadow_copies_delete_technique
Kryptik
Ransomware/win.bcdedit.c5590639
Malware/mdp.ransom.m1171

ChatGPT TTPs:
do not use without manual check
T1566, T1059, T1112, T1485, T1027, T1071

IOCs:
File: 1
Hash: 2
Url: 1

Soft:
task scheduler, bcdedit

Algorithms:
md5

Languages:
autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4