Операторы трояна TrickBot сотрудничают с группой Shathak Threat Group для распространения своего ПО, что в конечном итоге приводит к установке на зараженные компьютеры программы Conti ransomware.
Аналитики по безопасности Cybereason Александр Миленкоски (Aleksandar Milenkoski) и Эли Салем (Eli Salem) в своем отчете, посвященном анализу недавней кампании группы по распространению вредоносного ПО, отметили: "Реализация TrickBotв течение многих летразвивался, и в последней версии TrickBot появилась возможность загрузки вредоносного ПО". "TrickBot сыграл важную роль во многих атакующих кампаниях, проводимых различными субъектами угроз, начиная от обычных киберпреступников и заканчивая государственными структурами".
Последний отчет составлен на основе отчета IBM X-Force, опубликованного в прошлом месяце и свидетельствующего о партнерстве TrickBot с другими киберпреступными группами для доставки собственного вредоносного ПО, включая Shathak, также отслеживаемого под псевдонимом TA551, - изощренного киберпреступника, нацеленного на конечных пользователей по всему миру. Shathak, также отслеживаемый под псевдонимом TA551, - изощренный киберпреступник, нацеленный на конечных пользователей по всему миру и выступающий в роли распространителя вредоносного ПО посредством использования защищенных паролем ZIP-архивов, содержащих документы Office с поддержкой макросов.
Группа TrickBot, известная как ITG23 или Wizard Spider, отвечает за разработку и поддержку вымогательского ПО Conti, а также предоставляет доступ к нему филиалам по модели ransomware-as-a-service (RaaS).
Цепочка заражения Shathak обычно включает рассылку фишинговых писем, содержащих зараженные вредоносным ПО документы Word, что в конечном итоге приводит к развертыванию вредоносного ПО TrickBot или BazarBackdoor, которое затем используется в качестве канала для развертывания маячков Cobalt Strike и выкупного ПО, но не раньше, чем будут проведены разведывательные действия, латеральное перемещение, кража учетных данных и компрометация данных. до проведения разведки, латерального перемещения, кражи учетных данных и компрометации данных.
По словам исследователей Cybereason, среднее время получения выкупа (TTR) составляет два дня после вторжения, то есть время с момента получения доступа к сети до момента, когда угрожающий субъект развернул ransomware.
Результаты опроса были получены в то время, когда США.информационная безопасностьАгентство по безопасности инфраструктуры (CISA) и Федеральное бюро расследований (ФБР).отчетностьСогласно отчету, по состоянию на сентябрь 2021 года на американские и международные организации было совершено не менее 400 атак Conti ransomware.
Для защиты систем от вымогательского ПО Conti организации рекомендуют применять различные меры по снижению риска, включая "требование многофакторной аутентификации (MFA), сегментацию сети, обновление операционных систем и программного обеспечения".
Оригинал статьи CNCSO, при воспроизведении просьба указывать источник: https://cncso.com/ru/trickbot-operator-works-with-shathak-attacker-to-develop-conti-blackmail-software. html