Хакеры стали работать быстрее вашей техподдержки. На полный захват сети у них теперь уходит меньше суток
NewsMakerДаже минутная задержка теперь приводит к непоправимым последствиям.
Киберпреступники всё чаще играют на опережение — используют уязвимости раньше, чем компании успевают закрыть дыры. Новая кампания, которую разобрала команда Microsoft, показывает , насколько стремительными стали атаки с вымогательским ПО и как быстро злоумышленники превращают единичный сбой в масштабный инцидент.
Группа, известная как Storm-1175, строит атаки вокруг недавно раскрытых уязвимостей во внешних сервисах. Речь идёт о веб-доступных системах, которые часто остаются без обновлений в первые дни после публикации проблем. За этот короткий промежуток злоумышленники успевают проникнуть в инфраструктуру. В отдельных случаях атака начинается уже через сутки после раскрытия уязвимости, а иногда эксплойты применяются ещё до официального анонса проблемы.
После получения доступа группа действует быстро. На закрепление в системе уходит минимум времени — создаются новые учётные записи с правами администратора, разворачиваются инструменты удалённого управления и начинается перемещение по сети. Для этого используют как встроенные средства Windows вроде PowerShell и PsExec, так и легитимные сервисы администрирования, включая Atera, AnyDesk и ConnectWise. Такие инструменты помогают маскировать активность под обычную работу IT-служб.
Следующий этап — сбор учётных данных. Злоумышленники извлекают пароли из памяти процессов, используют утилиты вроде Mimikatz и получают доступ к контроллерам домена. Это даёт полный контроль над сетью и открывает путь к распространению вредоносного кода на другие системы. Параллельно отключаются или ослабляются защитные механизмы, включая антивирус, чтобы ничто не мешало финальной стадии атаки.
Киберпреступники всё чаще играют на опережение — используют уязвимости раньше, чем компании успевают закрыть дыры. Новая кампания, которую разобрала команда Microsoft, показывает , насколько стремительными стали атаки с вымогательским ПО и как быстро злоумышленники превращают единичный сбой в масштабный инцидент.
Группа, известная как Storm-1175, строит атаки вокруг недавно раскрытых уязвимостей во внешних сервисах. Речь идёт о веб-доступных системах, которые часто остаются без обновлений в первые дни после публикации проблем. За этот короткий промежуток злоумышленники успевают проникнуть в инфраструктуру. В отдельных случаях атака начинается уже через сутки после раскрытия уязвимости, а иногда эксплойты применяются ещё до официального анонса проблемы.
После получения доступа группа действует быстро. На закрепление в системе уходит минимум времени — создаются новые учётные записи с правами администратора, разворачиваются инструменты удалённого управления и начинается перемещение по сети. Для этого используют как встроенные средства Windows вроде PowerShell и PsExec, так и легитимные сервисы администрирования, включая Atera, AnyDesk и ConnectWise. Такие инструменты помогают маскировать активность под обычную работу IT-служб.
Следующий этап — сбор учётных данных. Злоумышленники извлекают пароли из памяти процессов, используют утилиты вроде Mimikatz и получают доступ к контроллерам домена. Это даёт полный контроль над сетью и открывает путь к распространению вредоносного кода на другие системы. Параллельно отключаются или ослабляются защитные механизмы, включая антивирус, чтобы ничто не мешало финальной стадии атаки.