Menu dostępności

Grupa hakerska atakuje rosyjskie podmioty z wykorzystaniem najnowszych ransomware

Tym razem nie będziemy pisać o cyberatakach przeprowadzanych na kraje europejskie przez Rosję, ale o nowej grupie hakerskiej, która atakuje właśnie firmy z Rosji za pomocą szerokiego arsenału ransomware. Opisywany aktor zagrożeń znany jest jako Crypt Ghouls i został powiązany z zestawem cyberataków skierowanych w rosyjskie firmy i agencje rządowe. Oprócz dążeń stricte finansowych ich celem jest zakłócenie operacyjności podmiotów w Rosji.

Grupa ma w swoim ekwipunku zestaw pentesterskich narzędzi, takich jak: Mimikatz, XenallPasswordPro, Pingcastle, Localtonet, Resocks, Anydesk, Psexec, a ostatecznym ładunkiem jest dobrze znany ransomware Lockbit 3.0 lub Babuk.

Ofiary złośliwych ataków obejmują agencje rządowe, a także firmy surowcowe, energetyczne, finansowe i detaliczne w Rosji.

Rosyjski dostawca bezpieczeństwa cybernetycznego podał, że był w stanie wskazać początkowy wektor włamania tylko w dwóch przypadkach, przy czym podmioty zagrożone wykorzystują poświadczenia logowania wykonawcy w celu połączenia z systemami wewnętrznymi za pośrednictwem VPN.

Podobno połączenia VPN pochodziły z adresów IP związanych z siecią rosyjskiego dostawcy hostingu i sieci wykonawcy, co wskazuje na próbę poruszania się poza detekcją poprzez stworzenie zaufanych relacji. Uważa się, że sieci kontrahentów są naruszane za pomocą usług VPN lub wykorzystania standardowych wad bezpieczeństwa.

Początkowa faza dostępu zaczyna się po udanym wdrożeniu NSSM i LocalToneT narzędzi do utrzymania zdalnego dostępu, a następne kroki są możliwe dzięki narzędziom:

  • XenallPasswordPro – do zbierania danych uwierzytelniania,
  • Cobint Backdoor,
  • Mimikatz – aby wydobyć poświadczenia ofiar,
  • Dumper.ps1 – aby zrzucić bilety Kerberos z pamięci podręcznej LSA,
  • Minidump – do wyodrębnienia poświadczeń logowania z pamięci LSass.exe,
  • cmd.exe – do kopiowania poświadczeń przechowywanych w Google Chrome i Microsoft Edge Browsers,
  • Pingcastle – do rozpoznania sieci i domen AD,
  • PAExec – do uruchamiania zdalnych poleceń,
  • AnyDesk i Resocks Socks5 Proxy – do zdalnego dostępu.

Ataki kończą się na szyfrowaniu danych systemowych przy użyciu publicznie dostępnych wersji Lockbit 3.0 dla systemu Windows i BABUK dla Linux/ESXI, jednocześnie z  szyfrowaniem danych obecnych w koszu, co ma utrudnić odzyskiwanie informacji.

„Atakujący pozostawiają notę okupową z linkiem zawierającym ich identyfikator w usłudze przesyłania wiadomości sesji do przyszłego kontaktu” – informuje Kaspersky. „Łączą się z serwerem ESXI za pośrednictwem SSH, przesyłają Babuk i inicjują proces szyfrowania plików w maszynach wirtualnych”.

Wybór narzędzi i infrastruktury Crypt Ghouls w tych atakach pokrywa się z podobnymi kampaniami prowadzonymi przez inne grupy ukierunkowane na Rosję w ostatnich miesiącach, w tym Morlock, Blackjack, Twelve czy Excobalt.

Cyberprzestępcy wykorzystują naruszenia poświadczeń, często należących do podwykonawców i popularnych narzędzi open source. Wspólny zestaw narzędzi używany w atakach na Rosję utrudnia wskazanie konkretnych zaangażowanych grup hacktivistów. Sugeruje to, że obecni aktorzy nie tylko dzielą się wiedzą, ale także swoimi zestawami narzędzi. Wszystko to utrudnia zidentyfikowanie konkretnych złośliwych grup stojących za falą ataków skierowanych w rosyjskie organizacje.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...