Криминалисты F.A.C.C.T. провели анализ атак новой группы вымогателей под названием Masque.

Главное:

• Криминалисты компании F.A.C.C.T. выявили новую группу вымогателей под названием Masque, ориентированную на российский бизнес.
• С января по декабрь 2024 года группа провела как минимум 10 атак на компании малого и среднего бизнеса, требуя выкуп в размере 5-10 миллионов рублей.
• Masque использует известные программные инструменты, такие как LockBit 3 (Black) и Babuk, при этом акцентируя внимание на уязвимостях в публично доступных сервисах.

Обзор группы Masque и её методов

В последние месяцы наблюдается возрастающая активность новых групп вымогателей, и одной из них стала группа Masque, работающая на русском языке. Она была обнаружена криминалистами компании F.A.C.C.T. в начале 2024 года и с тех пор провела атаку на ряд российских компаний. Интересно, что несмотря на свой долгий период отсутствия активности, в конце 2024 года Masque вновь начала проявлять интерес к более крупным целям, применяя менее инновационные, но все еще опасные технологии для атаки.

Группа использует известные программные решения, такие как LockBit 3 (Black) и Babuk, что подчеркивает их ориентацию на финансовую составляющую и уязвимости в системах, не обновленных на протяжении определенного времени. Статистика показывает, что большинство атак на российский рынок происходят через несовершенства в таких сервисах, как VMware Horizon, что может быть связано с общей проблемой безопасности в ИТ-инфраструктурах.

Стратегия атак и инструменты

Masque имеет довольно простой и прямолинейный подход к осуществлению атак. В большинстве случаев они используют уязвимость CVE-2021-44228 (log4shell) в библиотеке log4j, что позволяет им пробраться в системы без особых усилий. После получения доступа они применяют средства удаленного доступа, такие как AnyDesk, для дальнейшего контроля над скомпрометированными серверами.

Важно отметить, что группа не показывает особого упорства в исследовании инфраструктуры жертвы, что, с одной стороны, позволяет компании предотвратить потенциальные потери, но, с другой — создаёт возможность для неполноценной реакции на атаки. Как правило, они остаются в IT-инфраструктуре на срок от нескольких дней до двух недель, что не всегда гарантирует полный доступ к критически важным данным.

Возможности защиты от атак

Учитывая особенности работы группы Masque, действия по предотвращению атак становятся довольно очевидными. Рекомендуется особое внимание уделять обновлению программного обеспечения и усилению контроля за доступом к публичным сервисам. Важно защищать уязвимости, а также проводить регулярные аудиты безопасности и обучение сотрудников по вопросам кибербезопасности.

Криминалисты F.A.C.C.T. предоставили дополнительные рекомендации, как защитить компании от рисков, связанных с программами-вымогателями и киберугрозами. Это может включать в себя внедрение систем резервного копирования, обучение групп реагирования на инциденты и применение многоуровневых стратегий защиты.

В целом, новая информация о группе Masque подчеркивает необходимость повышенного внимания к вопросам кибербезопасности, особенно в условиях растущего количества атак.группа Masque подчеркивает необходимость повышенного внимания к вопросам кибербезопасности, особенно в условиях растущего количества атак.