RSS CISA Советы по кибербезопасности
Подписаться
#StopRansomware: RansomHub Ransomware
Совместное разъяснительное письмо по кибербезопасности от ФБР, CISA, MS-ISAC и HHS предназначено для предоставления информации о разновидности вымогательского ПО RansomHub, которая была идентифицирована как модель вымогательского ПО как услуги, привлекшая высокопрофильных аффилированных лиц из других известных разновидностей. RansomHub зашифровала и выкачала данные из по крайней мере 210 жертв из различных секторов. Аффилированные лица используют фишинговые электронные письма, эксплуатируют известные уязвимости и спрей паролей для получения начального доступа. Затем они проводят сканирование сети, отключают антивирусные продукты и перемещаются внутри сети с помощью инструментов, таких как Mimikatz, Cobalt Strike и других. Методы выкачки данных варьируются, но включают инструменты, такие как PuTTY, бакеты AWS S3 и запросы HTTP POST. Вымогательское ПО использует алгоритм шифрования Elliptic Curve, чтобы зашифровать файлы, добавляя уникальный ключ и контрольную сумму в конце каждого файла. Исполняемый файл вымогательского ПО не шифрует исполняемые файлы и удаляет тени томов, чтобы усложнить восстановление системы.