Меню Закрыть

Даркнет маркет, сайт OMG! Операторы программы-вымогателя Hive атаковали серверы Microsoft Exchange

Ссылка на Гидра сайт зеркало – hydra2web.cm
Ссылка на Гидра через Tor: hydrarulpfiemp3khy7bjlmdbgeewzghah2p2vail4gc3xlxkq3dsvyd.onion

---------------------------------------------------------------------

Ссылка на OMG – http://omgomgomgjnzdsg56m7g2u6nhhpexn7e6qrlpzhng7yhm52gnbov7fad.onion
Ссылка на зеркало OMG: https://omgomg.store

Зеркало на ОМГ!

Хакеры проводят сетевую разведку, крадут учетные данные учетной записи администратора, похищают информацию и шифруют системы.

Партнер программы-вымогателя Hive атаковал серверы Microsoft Exchange, содержащие уязвимости ProxyShell, для установки различных бэкдоров, включая маячки Cobalt Strike. Злоумышленники проводят сетевую разведку, крадут учетные данные учетной записи администратора, похищают ценную информацию и в конечном итоге устанавливают вымогательское ПО для шифрования файлов.

ProxyShell — набор из трех уязвимостей в Microsoft Exchange Server, которые позволяют удаленно выполнять код без проверки подлинности в уязвимых средах. После того как эксплоиты стали доступны, уязвимости использовались несколькими злоумышленниками, включая вымогательские группировки Conti, BlackByte, Babuk, Cuba и LockFile.

Уязвимости (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31297) получили оценку от 7,2 до 9,8 из максимальных 10 по шкале CVSS и были исправлены в мае 2021 года.

Площадка омг сайт

После эксплуатации ProxyShell хакеры внедрили четыре web-оболочки в доступную директорию Exchange и выполнили PowerShell-код с высокими привилегиями для загрузки Cobalt Strike. Web-оболочки были получены из общедоступного репозитория Git и были переименованы с целью избежать обнаружения во время возможных проверок.

Затем злоумышленники использовали Mimikatz для кражи пароля учетной записи администратора домена и выполнения перемещения по сети, получив доступ к большему количеству ресурсов. Хакеры инициировали обширные операции по поиску более ценных файлов, чтобы заставить жертву заплатить крупный выкуп.

Аналитики из компании Varonis обнаружили следы установленных сетевых сканеров, списки IP-адресов, перечисления устройств и каталогов, RDP для резервных серверов, сканирования баз данных SQL и пр. Одним из заметных случаев злоупотребления программным обеспечением для сканирования сети был инструмент SoftPerfect, который злоумышленники использовали для перечисления активных систем, проверяя их связь и сохраняя результаты в текстовом файле. После того как все файлы были похищены, полезная нагрузка программы-вымогателя с именем Windows.exe была запущена на нескольких устройствах.

  Даркнет маркет, сайт OMG! Приставы принудительно взыщут с компании Meta* около двух миллиардов рублей

Перед шифрованием файлов организации полезная нагрузка, написанная на языке Golang, удалила теневые копии, отключила Защитник Windows, очистила журналы событий Windows, отключила процессы привязки файлов и остановила работу диспетчера учетных записей безопасности.

Зеркала Гидра тор

Добавить комментарий