Команда отдела реагирования и цифровой криминалистики Angara SOC обнаружила новую программу-вымогатель M0r0k T34m (Morok Team) (Sunset Wolf).
В качестве закрепления в уже скомпрометированной сети и коммуникации с сервером управления используется утилита ngrok для проброса порта 3389 (RDP). Это позволяет открыть доступ к внутренним ресурсам машины.
Важно отметить, что атакующие также создают учетные записи, которые в последующем добавляют в привилегированные группы, а выбирают названия учетных данных максимально похожих на легитимные, в том числе «однофамильцев» действующих сотрудников. По мнению экспертов из области информационной безопасности, риск заражения может быть снижен за счет мониторинга информационной инфраструктуры, а именно обнаружение и реагирование на массовое удаление, создание или изменение файлов, добавление привилегированных учетных записей, использование утилит для удаленного подключения и все внешние подключения.
Юлия Парфенова, менеджер направления «контроль целостности» Efros Defence Operations, ООО «Газинформсервис» отмечает, что практически любую IT-инфраструктуру можно взломать, все зависит от компетентностей хакера. «Вопрос лишь в том, как долго злоумышленник будет пробираться сквозь системы защиты и сможет оставаться незамеченным в системе. Хакеры и запущенные ими вирусы неизбежно оставляют свои следы. В данной ситуации важно иметь средства защиты, которые смогут обнаружить эти следы и сразу об этом сообщить, предоставив специалистам по безопасности возможность проанализировать изменения и предпринять меры по противодействию», – говорит Юлия Парфенова.