Назад к блогу

Уязвимый сервер раскрыл инструментарий вымогателей TheGentlemen и данные жертв

3 мин. чтения0 просмотровИИ-генерацияуправление поверхностью атакиeasmуправление уязвимостямивредоносное пооценка рисков

Уязвимый сервер раскрыл инструментарий вымогателей TheGentlemen и данные жертв

Недавно был обнаружен неправильно настроенный сервер, размещённый на российском «бронированном» хостинге, который случайно открыл доступ к полному набору инструментов группы вымогателей TheGentlemen. В открытом доступе оказались не только программные средства для проведения атак, но и учётные данные пострадавших, а также токены аутентификации для создания скрытых удалённых туннелей через сервис Ngrok.

TheGentlemen — это группа, работающая по модели Ransomware-as-a-Service (RaaS), при которой основной оператор предоставляет инструменты и инфраструктуру, а аффилиаты проводят атаки и делят выручку. Обнаружение такого комплекта данных и инструментов в открытом доступе представляет серьёзную угрозу, так как позволяет злоумышленникам изучить методы работы группы, а также потенциально использовать их ресурсы для новых атак.

Детали инцидента

Сервер, на котором хранилась информация, был размещён у провайдера, специализирующегося на «бронированном» хостинге — услуге, которая зачастую используется киберпреступниками для защиты своих ресурсов от блокировок и изъятия. Из-за неправильной конфигурации доступа к серверу любой пользователь мог получить полный доступ к:

  • Полному набору программного обеспечения, используемому TheGentlemen для шифрования данных жертв и управления атаками.
  • Собранным учётным данным пострадавших, включая логины и пароли.
  • Токенам аутентификации для Ngrok — популярного сервиса, позволяющего создавать скрытые туннели для удалённого доступа, что помогает злоумышленникам обходить традиционные средства защиты и маскировать своё присутствие.

Такой уровень раскрытия информации даёт возможность исследователям безопасности лучше понять внутренние механизмы работы RaaS-групп, а также выявить слабые места в инфраструктуре, которые можно использовать для защиты.

Значение для организаций, управляющих внешней поверхностью атаки

Для компаний и организаций, которые следят за своей внешней поверхностью атаки, этот инцидент подчёркивает несколько важных аспектов:

  • Риски, связанные с уязвимыми или неправильно настроенными ресурсами партнёров и поставщиков. Внешние сервисы, даже если они не принадлежат напрямую организации, могут стать точкой входа для злоумышленников.
  • Опасность утечки аутентификационных данных и инструментов злоумышленников. Если подобная информация становится общедоступной, это может привести к увеличению числа атак, поскольку другие киберпреступники получают доступ к готовым средствам.
  • Необходимость мониторинга сервисов, используемых злоумышленниками для скрытия своей активности. Токены и сервисы вроде Ngrok часто применяются для обхода традиционных систем безопасности, поэтому их обнаружение в инфраструктуре требует особого внимания.

Практические рекомендации для команд безопасности

Для минимизации рисков, связанных с подобными инцидентами, специалисты по информационной безопасности могут принять следующие меры:

  • Проводить регулярный аудит и проверку конфигураций серверов и сервисов, особенно тех, что связаны с внешними партнёрами и поставщиками. Это поможет выявить и устранить ошибки, которые могут привести к утечкам.
  • Внедрять системы мониторинга и анализа внешней поверхности атаки (EASM), позволяющие обнаруживать подозрительные ресурсы и утечки данных, связанные с организацией.
  • Отслеживать использование сервисов туннелирования и удалённого доступа, таких как Ngrok, в своей инфраструктуре и блокировать неавторизованные подключения.
  • Обучать сотрудников и партнеров принципам безопасности, включая правила работы с учётными данными и необходимость своевременного обновления программного обеспечения.
  • Разрабатывать и тестировать планы реагирования на инциденты, включающие сценарии утечки инструментов злоумышленников и компрометации данных жертв.

Этот случай служит напоминанием о том, что безопасность внешней поверхности атаки требует комплексного подхода, включающего не только защиту собственных ресурсов, но и постоянный мониторинг и управление рисками, связанными с партнёрами и используемыми сервисами.

Поделиться:TelegramVK

Похожие статьи

LeakNet: новая угроза с необычной тактикой социальной инженерии

21 мар. 20262 мин. чтения2
вредоносное пооценка рисковуправление поверхностью атакиeasmуправление уязвимостями

Опасная уязвимость в популярном инструменте сжатия данных xz угрожает безопасности Linux-систем

28 мар. 20263 мин. чтения1
управление уязвимостямиоценка рисковуправление поверхностью атакиeasmвредоносное по
Новости

Взлом текстового редактора: Почему атака на Notepad++ — это урок для всех компаний

26 фев. 20262 мин. чтения4
управление поверхностью атакиeasmвредоносное поуправление уязвимостямиоценка рисков
РазработаноMagma

Мы используем файлы cookie для обеспечения работоспособности сервиса и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с политикой конфиденциальности.