A Brute Ratel elnevezésű behatolásvizsgálati (pentest) eszköz hasonló, de kevésbé ismert, mint a Cobalt Strike, amely a távolból képes átvenni az irányítást a gépünk felett. Az eszköz lehetővé tette, hogy sebezhető hálózatokba és rendszerekben hatoljanak be világszerte, különböző iparágakban - írja a 24.hu.

A BlackCat ransomware először 2021. novemberében jelent meg „ransomware, mint szolgáltatás” üzletág legújabb vezetőjeként és gyorsan felkeltette a figyelmet a szokatlan kódnyelvével, a Rusttal. A célba vett szervezetek a Sophos Rapid Response-hoz fordultak, és öt, BlackCathez köthető támadás kivizsgálását kérték. Mint a jelentés rámutatott, ezek közül négy incidens során a kezdeti fertőzés különböző tűzfalgyártók termékei sebezhetőségeinek kihasználásával történt.

Az egyik ilyen sebezhetőség 2018-ból származott, egy másik tavaly jelent meg. Miután a támadók a hálózaton belül voltak, meg tudták szerezni az ezeken a tűzfalakon tárolt VPN hitelesítő adatokat, hogy hozzáféréssel rendelkező felhasználóként jelentkezzenek be, majd távoli asztal protokoll (RDP) használatával a rendszerek között mozogjanak. A korábbi BlackCat incidensekhez hasonlóan most is nyílt forráskódú és kereskedelmi forgalomban kapható eszközöket használtak a támadók. Ezek közé tartozik például a TeamViewer, az nGrok, a Cobalt Strike, és a Brute Ratel.

Azonban a korábbi támadásokkal ellentétben a mostaniaknak nem nem volt egyértelmű mintázata.

Ezek az Egyesült Államokban, Európában és Ázsiában fordultak elő, ráadásul különböző iparági szegmensek szereplőinél. A célba vett vállalatok azonban osztoztak bizonyos környezeti sebezhetőségeken, amelyek egyszerűbbé tették a támadók dolgát. A cégek elavult rendszereket használtak, hiányzott a VPN-ekhez használt többlépcsős azonosítás, és a hálózati struktúra is lapos volt, ami megkönnyítette a vírus terjedését. A teljes cikk itt folytatódik.

Kövesd az oldalunkat a Facebook-on és a Twitteren is!