Злоумышленники похищают и шифруют данные организаций, не требуя выкуп.
Новая хакерская группировка под названием Moses Staff, преследующая политические мотивы, предположительно стоит за волной целенаправленных атак на израильские организации, начавшихся в сентябре 2021 года. Хакеры похищали из атакованных сетей конфиденциальную информацию, после чего шифровали файлы своих жертв без возможности восстановить доступ или договориться о выкупе.
"Группировка открыто заявляет о том, что атакует израильские организации с целью причинения ущерба путем утечки похищенных чувствительных данных и шифрования сетей жертв без требования выкупа. Выражаясь языком самих злоумышленников, их целью является 'борьба с сопротивлением и разоблачение преступлений сионистов на оккупированных территориях'", - сообщили исследователи ИБ-компании Check Point.
К настоящему времени жертвами утечки стали 16 израильских организаций.
Злоумышленники используют известные уязвимости для взлома корпоративных серверов и получения первоначального доступа. После взлома они развертывают на серверах кастомные web-оболочки, через которые устанавливают дополнительное вредоносное ПО. Получив доступ к сети атакуемой организации, хакеры используют доступные техники для бокового перемещения и развертывания вредоносного ПО для шифрования компьютеров с помощью особым образом сконфигурированного вредоносного ПО PyDCrypt.
Для шифрования томов атакующие используют библиотеку с открытым исходным кодом DiskCryptor, вдобавок они заражают систему загрузчиком, блокирующим ее загрузку без соответствующего ключа шифрования. Целью хакеров является срыв операций и причинение жертвам "необратимого ущерба", пояснили исследователи.
В некоторых случаях зашифрованные файлы можно восстановить, поскольку злоумышленники используют симметричный механизм для генерирования ключей шифрования.
Специалисты Check Point не отнесли атаки на счет какой-либо конкретной страны, так как не нашли достаточно веских доказательств. Тем не менее, они обнаружили, что некоторые артефакты используемых группировкой инструментов были загружены на VirusTotal из Палестины за несколько месяцев до первой атаки.
У Moses Staff есть страница в Twitter и Telegram-канал для публикации сообщений о своих атаках. Если верить сайту группировки, она атаковала 257 сайтов и похитила 34 ТБ файлов и документов.
SECURITYLAB.RU