Эксперты из Angara Security обнаружили новую хакерсую группировку — M0r0k T34m (Morok Team) (Sunset Wolf). Она активна с ноября 2023 года. Хакеры из M0r0k T34m атакуют различные организации программой‑шифровальщиком, а затем требуют выкуп за расшифровку данных, рассказали информационной службе Хабра в пресс‑службе ИБ‑компании.
Вымогатель‑шифровщик у хакгруппировки свой под названием M0r0k, Он написан на Python и использует алгоритм рекурсивного шифрования файлов Fernet. В качестве закрепления в скомпрометированной сети и коммуникации с сервером управления шифровальщик использует утилиту ngrok, пробрасывающую порт 3389 (RDP). Это позволяет открыть доступ к внутренним ресурсам машины для злоумышленников.
По словам руководителя отдела реагирования и цифровой криминалистики Angara SOC Никиты Леокумовича, утилита ngrok очень популярная, например, её использует хакерская группировка Shadow Wolf (также известны как Shadow или C0met). После проникновения атакующие создают учётные записи, добавляемые в последующем в привилегированные группы. Названия таких учётных данных должны быть похожи на легитимные, желательно «однофамильцы» действующих сотрудников.
Полная реконструкция типичного инцидента с использованием M0r0k находится в стадии разработки. Однако эксперты отмечают, что получение первоначального доступа в сеть реализуется через эксплуатирование уязвимостей публично доступных приложений.
