Кіберексперти розкривають, що саме сталося під час атак програм-вимагачів, які зруйнували 300 банків – Firstpost

Нещодавню атаку програм-вимагачів, яка фактично зруйнувала понад 300 невеликих індійських банків і вплинула на використання банкоматів і онлайн-платежі, приписують сумнозвісній групі RansomEXX

Сталося те, що C-Edge Technologies Ltd., спільне підприємство Tata Consultancy Services Ltd. Згідно зі звітом CloudSEK, державний банк Індії був атакований за допомогою складного варіанту програмного забезпечення-вимагача.

Атака в основному торкнулася Brontoo Technology Solutions, основного партнера C-Edge. Після атаки Brontoo подав звіт до CertIn, Індійської команди реагування на комп’ютерні надзвичайні ситуації. Команда дослідження загроз CloudSEK визначила, що ланцюжок атак почався з несправного сервера Jenkins, яким скористалися зловмисники.

Ключові висновки звіту CloudSEK
У звіті CloudSEK висвітлено кілька ключових висновків. За атакою стоїть група програм-вимагачів RansomEXX v2.0, сумно відома тим, що націлена на великі організації та вимагає великих викупів. Атака почалася з несправного сервера Jenkins, який використовує вразливість (CVE-2024-23897), яка дозволяє зловмисникам отримати безпечний доступ до оболонки через порт 22. Цей інцидент підкреслює зростаючу загрозу атак на ланцюги поставок і потребу в надійній екосистемі заходи безпеки.

RansomEXX v2.0 — це розширений варіант програми-вимагача RansomEXX, відомої своїми складними техніками та високими вимогами викупу. Спочатку відомий як Defray777, RansomEXX був ребрендингований у 2020 році та з тих пір еволюціонував, щоб застосувати дедалі більше оборонних заходів. Цей варіант демонструє вдосконалені методи шифрування, тактику ухилення та методи доставки корисного навантаження.

Вектори зараження та тактики, які використовує RansomEXX v2.0, різноманітні та ефективні. Початкові вектори доступу включають фішингові електронні листи, використання вразливостей у протоколах віддаленого робочого столу (RDP) і слабкі місця в VPN та інших службах віддаленого доступу. Отримавши початковий доступ, команда використовує такі інструменти, як Cobalt Strike і Mimikatz, щоб пересуватися всередині мережі. Вони використовують відомі експлойти та крадіжку облікових даних, щоб отримати підвищені привілеї в скомпрометованому середовищі.

Повстання супербактерії
RansomEXX v2.0 використовує надійні алгоритми шифрування, такі як RSA-2048 і AES-256, що робить відновлення файлів без ключа дешифрування майже неможливим. Програмне забезпечення-вимагач націлено на критичні файли та резервні копії, роблячи їх недоступними. Перед шифруванням група часто витягує дані, щоб використовувати їх як важіль для подвійного шантажу. Жертви отримують докладні нотатки про викуп з інструкціями щодо оплати, зазвичай у біткойнах або інших криптовалютах. Відомо, що група бере участь у переговорах, іноді знижуючи вимоги щодо викупу на основі відповідності жертви та передбачуваної платоспроможності.

RansomEXX націлився на низку відомих організацій у різних секторах, включаючи державні установи, постачальників медичних послуг і транснаціональні корпорації. Ці атаки призвели до значних збоїв у роботі, витоку даних і фінансових втрат. Багато жертв заплатили викуп, щоб швидко відновити бізнес.

RansomEXX v2.0 продовжує розвиватися, включаючи нові методи для обходу заходів безпеки. За словами CloudSEK, останні звіти свідчать про використання вкрадених цифрових сертифікатів для підпису зловмисного програмного забезпечення, що підвищує довіру та знижує рівень виявлення. Є також докази співпраці з іншими групами кіберзлочинців, обміну інструментами, технікою та інфраструктурою.