Операторы вымогателя Quantum осуществили атаку почти за 4 часа

26.04.2022
Операторы вымогателя Quantum осуществили атаку почти за 4 часа

Программа-вымогатель Quantum, впервые обнаруженная в августе 2021 года, была использована в быстрых сетевых атаках. Злоумышленники использовали вредоносное ПО IcedID в качестве одного из своих первоначальных векторов доступа, которое развертывает Cobalt Strike для удаленного доступа и приводит к краже данных и шифрованию с помощью Quantum, сообщает SecurityLab.

Специалисты The DFIR Report проанализировали атаки программы-вымогателя Quantum. Атака длилась всего 3 часа 44 минуты с момента первоначального заражения до завершения шифрования устройств. В ходе атаки было использовано вредоносное ПО IcedID в качестве начального доступа к системе жертвы. Предположительно, вредонос был установлен злоумышленниками через фишинговое электронное письмо, содержащее вложенный ISO-файл.

IcedID — модульный банковский троян, используемый в течение последних пяти лет в основном для развертывания полезной нагрузки второго этапа, загрузчиков и программ-вымогателей. Комбинация IcedID и ISO-архивов часто используется в ходе кибератак, поскольку подобные файлы способны обойти защитные решения электронной почты.

Через два часа после первоначального заражения злоумышленники внедрили Cobalt Strike в процесс C:\Windows\SysWOW64\cmd.exe с целью избежать обнаружения. На этом этапе преступники похитили учетные данные домена Windows, сбросив память LSASS, и распространились по сети. Затем хакеры продолжили устанавливать RDP-подключения к другим серверам в среде.

После того как преступники получили представление о структуре домена, они подготовились к развертыванию программы-вымогателя, скопировав программу (с именем ttsel.exe) на каждую систему через общую папку C$. В конце концов злоумышленники использовали WMI и PsExec для развертывания полезной нагрузки программы-вымогателя Quantum и шифрования устройств.

erid: 2SDnjcLt8zP erid: 2SDnjcLt8zP

Популярные материалы