Группировка REvil нашла партнеров для взлома корпоративных сетей
Злоумышленники взламывают сети компании, а затем сдают в аренду или продают доступ другим группировкам.
Оператор одного из сервисов, работающего по модели «доступ-как-услуга» (access-as-a-service), начал сотрудничать с несколькими операторами вымогательского ПО, включая REvil (также известная как Sodinokibi), предлагая им доступ к сетям крупных компаний.
Преступники, занимающиеся взломом корпоративных сетей, предлагают свои навыки в даркнете и защищенных мессенджерах. Злоумышленники взламывают сети компании, а затем сдают в аренду или продают доступ операторам программ-шифровальщиков. Подобное взаимовыгодное сотрудничество позволяет распространять вымогательское ПО даже в защищенных сетях.
Исследователи из компании Advanced Intelligence (AdvIntel) обнаружили связь между двумя типами киберпреступных операций. Доступ к корпоративной сети может быть использован для нескольких вредоносных кампаний, включая BEC–атаки (business email compromise – компрометация деловой почты) и спам.
Киберпреступник под псевдонимом -TMT- начал сотрудничать с операторами REvil с августа 2019 года. Сотрудничать к REvil получилось благодаря Lalartu — известному пользователю даркнета, который практически поручился за разработчиков REvil. Lalartu и -TMT- обнаружили выгоду от партнерства с операторами вымогательского ПО и предложили им свои услуги.
В течение июня, июля и августа 2019 года -TMT- предлагал доступ к скомпрометированным корпоративным сетям, не называя имен жертв. Цены варьировались от $3 тыс. до $5 тыс. за доступ к сотням хостов и серверов компаний из разных стран, работающих в различных отраслях промышленности. Цены зависели от типа предлагаемого доступа, например, наиболее дешевые варианты предоставляли доступ к удаленному рабочему столу, который легче обнаружить.
В ходе одной из атак -TMT- получил полный доступ к административным панелям, хостам серверов и корпоративным VPN-сетям одной из жертв. Доступ был оценен в $20 тыс. По словам исследователей, киберпреступник «похитил учетные данные администратора, мог безопасно перемещаться по сети и повышать права доступа по мере необходимости».
Известно также, что тактики, методы и процедуры, применяемые -TMT-, включают использование Metasploit и платформы Cobalt Strike.
Домашний Wi-Fi – ваша крепость или картонный домик?