Home Ça parle de Cyberattaques & Technologies Cuba Ransomware s’associe à Hancitor pour des attaques alimentées par le spam

Cuba Ransomware s’associe à Hancitor pour des attaques alimentées par le spam

Lawrence Abrams
-
0

[ad_1]

Le gang Cuba Ransomware s’est associé aux opérateurs de spam du malware Hancitor pour accéder plus facilement aux réseaux d’entreprise compromis.

Le téléchargeur Hancitor (Chancitor) est opérationnel depuis 2016, lorsque Zscaler l’a vu distribuer le cheval de Troie voleur d’informations Vawtrak. Depuis lors, de nombreuses campagnes ont été vues au fil des ans où Hancitor installe des voleurs de mots de passe, tels que Pony, Ficker et plus récemment, Cobalt Strike.

Hancitor est généralement distribué par le biais de campagnes de spam malveillantes prétendant être des factures DocuSign, comme indiqué ci-dessous.

Lorsqu’un destinataire clique sur le lien «Signer le document», il télécharge un document Word malveillant qui tente de convaincre la cible de désactiver les protections.

Une fois les protections désactivées, des macros malveillantes se déclenchent pour télécharger et installer le téléchargeur Hancitor.

Cuba ransomware s’associe à Hancitor

Semblable à la façon dont Ryuk et Conti se sont associés à TrickBot et Egregor et ProLock ont ​​travaillé avec QBot, le Cuba Ransomware s’est associé à Hancitor pour accéder aux réseaux compromis.

Dans un nouveau rapport de la société de cybersécurité Group-IB, des chercheurs ont détecté de récentes campagnes Hancitor laissant tomber des balises Cobalt Strike sur des ordinateurs infectés.

Cobalt Strike est une boîte à outils de test de pénétration légitime qui utilise des balises ou des clients déployés sur des appareils compromis pour «créer des shells, exécuter des scripts PowerShell, effectuer une élévation de privilèges ou créer une nouvelle session pour créer un écouteur sur le système victime».

Les gangs de ransomwares utilisent couramment des versions craquées de Cobalt Strike dans le cadre de leurs attaques pour prendre pied et se propager latéralement sur un réseau.

Une fois les balises Cobalt Strike déployées, les chercheurs du Groupe IB affirment que les acteurs de la menace utilisent cet accès à distance pour collecter les informations d’identification du réseau, les informations de domaine et se répandre sur le réseau.

«Les capacités du Beacon ont également été utilisées pour …

Voir la source de cette publication

[ad_2]

© Newspaper WordPress Theme by TagDiv