На початку 2024 року експерти з кібербезпеки виявили нову хакерську групу Masque, що здійснює цілеспрямовані атаки на компанії з використанням програм-вимагачів. За даними дослідників, протягом року група провела щонайменше десять успішних кібератак, переважно націлених на представників малого та середнього бізнесу.
Технічні особливості та методи проникнення
Основним вектором атак групи Masque є експлуатація вразливості CVE-2021-44228 (log4shell) у широко використовуваній бібліотеці log4j. Зловмисники концентрують увагу на загальнодоступних сервісах, зокрема VMware Horizon, використовуючи скомпрометовані сервери як плацдарм для подальшого розвитку атаки. У своєму арсеналі група використовує популярні інструменти віддаленого доступу та переміщення мережею: AnyDesk, chisel, LocaltoNet та mimikatz.
Тактика та операційні методи
Аналіз діяльності групи показує відносно прості, але ефективні методи атак. Середня тривалість перебування зловмисників в інфраструктурі жертви становить від кількох днів до двох тижнів. Для латерального руху мережею використовуються протоколи RDP та SSH, а також WinRM і SMBExec. Примітно, що група не приділяє значної уваги попередньому викраденню даних перед шифруванням.
MystiqueLoader – інноваційний інструмент групи
Особливу увагу фахівців привернув новий інструмент групи – MystiqueLoader (файл dwm.exe). Цей компактний завантажувач розміром 47 КБ демонструє передові технічні можливості, включаючи отримання команд через DNS-протокол та завантаження шкідливих модулів безпосередньо в пам’ять процесу, що свідчить про технологічний розвиток групи.
Фінансові вимоги та комунікація з жертвами
Група вимагає початковий викуп у розмірі 5-10 мільйонів рублів, приймаючи оплату в криптовалютах Bitcoin (BTC) або Monero (XMR). Для комунікації використовується захищений месенджер Tox, при цьому для кожної атаки створюється унікальний ідентифікатор, що ускладнює відстеження діяльності групи.
Поява нових кіберзлочинних угруповань підкреслює критичну важливість впровадження комплексних заходів кібербезпеки. Організаціям рекомендується регулярно оновлювати системи безпеки, здійснювати моніторинг мережевої активності та забезпечувати надійне резервне копіювання даних. Особливу увагу слід приділити захисту публічних сервісів та своєчасному усуненню відомих вразливостей, що дозволить мінімізувати ризики успішних атак програм-вимагачів.
