Бесплатно Экспресс-аудит сайта:

05.12.2023

Вымогательские шипы CACTUS прорастают в целевых сетях благодаря вредоносной рекламе

Корпорация Microsoft сообщила о новой волне атак программ-вымогателей CACTUS, использующих вредоносную рекламу для развёртывания инструмента DanaBot в качестве начального вектора доступа.

Буквально несколько дней назад специалисты Arctic Wolf уже рассматривали схожую кампанию, эксплуатирующую уязвимости в платформе бизнес-аналитики Qlik Sense для проникновения в целевые среды и заражения вымогателем CACTUS, однако отличий в этих киберинцидентах больше, чем может показаться на первый взгляд.

Эксперты Microsoft Threat Intelligence отмечают, что заражения вредоносом DanaBot, который является многофункциональным инструментом, способным действовать как инфостилер и бэкдор , привели к активным действиям со стороны хакеров Storm-0216 (Twisted Spider, UNC2198). В итоге это привело к распространению вымогательского софта CACTUS, о чём компания сообщила в серии публикаций на запрещённой платформе.

DanaBot во многом аналогичен таким инструментам, как Emotet, TrickBot, QakBot и IcedID. Более того, за группировкой Storm-0216 ранее уже было замечено использование IcedID для развёртывания таких семейств программ-вымогателей, как Maze и Egregor, о чём подробно рассказывала компания Mandiant в феврале 2021 года.

По данным Microsoft, в рассмотренной кампании злоумышленники также поначалу использовали первоначальный доступ, предоставленный QakBot. Оперативный переход на DanaBot, вероятно, связан с координированной операцией правоохранительных органов в августе 2023 года, которая привела к ликвидации инфраструктуры QakBot.

Собранные при помощи DanaBot учётные данные, как правило, передаются на сервер злоумышленников, после чего следует боковое перемещение через RDP с последующим шифрованием данных.

Новая волна кибератак группировки Storm-0216 демонстрирует постоянную изобретательность злоумышленников в обходе защитных мер и использовании новых инструментов, таких как DanaBot. Компаниям необходимо регулярно обновлять свои системы безопасности и следить за последними угрозами, чтобы защитить свои данные.

Бдительность и проактивный подход к кибербезопасности — это единственный надёжный способ противостоять всё более изощренным атакам киберпреступников.