Группировка SnapMC похищает файлы компаний и вымогает выкупы

ИБ-специалисты из компании Fox-IT обнаружили хак-группу SnapMC, которая занимается вымогательством без шифрования. Злоумышленники взламывают компании, похищают данные, а затем требуют выкуп у пострадавших, угрожая опубликовать украденные данные в открытом доступе или сообщить о взломе и утечке СМИ. Интересно, что на такие атаки у хакеров уходит всего около 30 минут.

Свое название группа получила благодаря быстрым атакам и использованию инструмента mc.exe для кражи данных. Эксперты пишут, что обычно хакеры взламывают сети компаний, используя различные уязвимости. Для этих целей SnapMC применяет сканер уязвимостей Acunetix и находит баги в VPN, веб-серверах и так далее. Например, несколько вторжений оказались связаны с эксплуатацией бага CVE-2019-18935, уязвимости в UI-компоненте Telerik ASP.NET.

Проникнув в сеть компании-жертвы, хакеры быстро переходят к сбору данных и обычно не проводят во взломанной сети более 30 минут. Для хищения файлов взломщики используют скрипты для экспорта данных из БД SQL, затем файлы CSV сжимаются с помощью 7zip, а клиент MinIO используется для передачи информации хакерам.
После этого SnapMC отправляют взломанной компании электронные письма со списком украденных файлов в качестве доказательства атаки и дают пострадавшим 24 часа на то, чтобы ответить на письмо, и еще 72 часа на согласование выплаты выкупа.
Аналитики Fox-IT подчеркивают, что за время наблюдения за группой они не заметили, чтобы хакеры использовали программы-вымогатели, хотя те имеют доступ к внутренней сети жертвы. Вместо этого злоумышленники сосредотачиваются исключительно на краже данных и последующем вымогательстве.

Хакер.ру
 
Сверху Снизу