Microsoft предупреждает пользователей Windows о появлении новой угрозы часть 2

Microsoft предупреждает, что субъекты угрозы DoppelPaymer “вызвали хаос” в нескольких атаках, в некоторых случаях выкупы доходили до миллионов долларов. Распространение людьми-операторами внутри скомпрометированных сетей и в рамках инфраструктуры атак с использованием другого вредоносного программного обеспечения, такого как банковские трояны, показывает уровень беспрепятственной уверенности, которой обладают эти киберпреступники.

Исследователи Microsoft обнаружили, что эти кампании вымогателей не используют скрытный подход. Если они могут проникнуть в ваши сети, то они работают, не беспокоясь о том, чтобы скрыть свои следы. Возможно, еще более удивительным для многих станет то, что сами атаки начинаются несложно, с использованием обычных вредоносных программ и с использованием векторов, которые регулярно вызывают оповещения об обнаружении в бизнес-системах. Их это не волнует, потому что предупреждения имеют низкий уровень, и службы безопасности определяют, что они не имеют большого значения. Это открывает окно атаки достаточно долго, чтобы позволить атакующему прыгнуть прямо через него. Даже если решение по безопасности перехватит общую полезную нагрузку, атака будет просто пробовать других, пока один не пробьется через защиту. Получив статус администратора в системе, злоумышленники отключают антивирусную защиту, чтобы включить относительно беспрепятственное действие полезной нагрузки.

Microsoft объясняет:
“Успех атак зависит от того, удастся ли злоумышленникам получить контроль над учетными записями домена с повышенными привилегиями после установления первоначального доступа”.

Хотя Microsoft Defender ATP генерирует оповещения о множестве действий в результате этих атак, если затронутые сегменты сети не контролируются активно, они не получают требуемый ответ. Поскольку атаки DoppelPaymer имеют тенденцию не полностью заражать сети, которые они скомпрометировали, а скорее лишь подмножество компьютеров с вредоносным ПО, а затем еще одно подмножество с шифрованием данных, есть еще больше шансов, что они останутся незамеченными.