Призраки в сети: как Crypt Ghouls проникают в российские компании

Призраки в сети: как Crypt Ghouls проникают в российские компании

Новые методы взлома ставят под угрозу привычные меры безопасности.

image

В декабре 2023 года исследователями из «Лаборатории Касперского» была обнаружена новая хакерская группировка под названием Crypt Ghouls, специализирующаяся на атаках с использованием шифровальщиков против российских компаний и государственных организаций. Эксперты выявили связи данной кибербанды с другими группировками, что проявляется в общих тактиках, процедурах и используемом инструментарии.

Для проникновения в сети жертв злоумышленники применяют учётные записи подрядчиков и VPN-соединения с IP-адресов российских хостинг-провайдеров. Внутри инфраструктуры они используют такие утилиты, как Localtonet для создания зашифрованных туннелей и NSSM для управления службами на скомпрометированных системах. Основными инструментами для кражи учётных данных выступают Mimikatz и XenAllPasswordPro, а для удалённого управления — AnyDesk и resocks.

В рамках атак Crypt Ghouls задействуют шифровальщики LockBit 3.0 и Babuk. Эти вредоносные программы обеспечивают шифрование файлов на Windows- и Linux-серверах, а также изменяют имена и содержимое файлов в корзине, что затрудняет их восстановление. Помимо этого, хакеры активно пользуются модулем CobInt для внедрения бэкдоров и PowerShell-скриптами для скрытного получения данных из кэшей Kerberos.

Злоумышленники демонстрируют высокую степень подготовки, используя сложные методы, такие как DLL Sideloading и WMI для удалённого исполнения команд. Также они сохраняют дампы NTDS.dit с контроллеров домена, извлекая из них ценные данные с помощью утилит Impacket и PAExec. Активное использование инфраструктуры Surfshark VPN и хостинг-провайдеров, таких как VDSina, неоднократно позволяло им скрывать свою деятельность.

Эксперты отметили пересечение инструментов Crypt Ghouls с другими хакерскими группировками, включая MorLock, BlackJack и Twelve. Это свидетельствует о том, что злоумышленники, вероятно, делятся инструментарием и знаниями, усложняя процесс их идентификации и отслеживания.

Crypt Ghouls нацелились на российские компании в таких отраслях, как энергетика, финансы, горнодобывающая и коммерческая сферы. Целью атак является не только вымогательство, но и нарушение бизнес-процессов, что увеличивает масштабы ущерба для организаций. Эксперты «Лаборатории Касперского» продолжают отслеживать активность группы, ожидая дальнейшего роста числа атак.

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину