Злоумышленники не всегда используют перебор или распыление пароля. Партнеры REvil могут получить действительную учетную запись из самых разных источников, например, от стилеров информации. Владельцы REvil RaaS даже купили исходный код стилера KPOT, чтобы использовать его в интересах своих партнеров.
Партнеры могут использовать различные уязвимости в общедоступных приложениях. Как известно, они используют веб-оболочки для получения начального доступа.
По данным СМИ, злоумышленники могли получить доступ к сети Acer с помощью уязвимости ProxyLogon на сервере Microsoft Exchange данной компании. Хакеры, использующие данную уязвимость, очень часто загружают веб-оболочку для сохранения доступа.
Достигнув первоначальную цель, преступники обычно продолжают собирать дополнительные учетные данные и проводят внутреннюю разведку.
Двумя наиболее распространенными инструментами сетевого сканирования, обнаруженными командой Group-IB в рамках реагирования на инциденты, стали Advanced IP Scanner и SoftPerfect Network Scanner. В некоторых случаях партнеры загружали эти инструменты прямо с официальных сайтов, используя взломанный хост.
Рекомендации по обнаружению: злоумышленники редко переименовывают инструменты сетевого сканирования, поэтому можно легко искать имена файлов. А если такие инструменты все-таки были переименованы, стоит сосредоточиться на названиях и описаниях продуктов, которые по-прежнему позволяют их обнаруживать.