1275.ru
Open in
urlscan Pro
2606:4700:3032::ac43:8c54
Public Scan
URL:
https://1275.ru/ioc/1972/lokilocker-blackbit-iocs/
Submission: On October 26 via api from US — Scanned from DE
Submission: On October 26 via api from US — Scanned from DE
Form analysis 2 forms found in the DOM
GET https://1275.ru/
<form role="search" method="get" class="search-form" action="https://1275.ru/"> <label> <span class="screen-reader-text"><!--noindex-->Search for:<!--/noindex--></span> <input type="search" class="search-field" placeholder="Поиск…" value="" name="s">
</label> <button type="submit" class="search-submit"></button> </form>POST https://1275.ru/wp-comments-post.php
<form action="https://1275.ru/wp-comments-post.php" method="post" id="commentform" class="comment-form" novalidate="">
<p class="comment-form-author"><label class="screen-reader-text" for="author">Имя <span class="required">*</span></label> <input id="author" name="author" type="text" value="" size="30" maxlength="245" required="required" placeholder="Имя"></p>
<p class="comment-form-email"><label class="screen-reader-text" for="email">Email <span class="required">*</span></label> <input id="email" name="email" type="email" value="" size="30" maxlength="100" required="required" placeholder="Email"></p>
<p class="comment-form-comment"><label class="screen-reader-text" for="comment">Комментарий</label> <textarea id="comment" name="comment" cols="45" rows="8" maxlength="65525" required="required" placeholder="Комментарий"></textarea></p>
<p class="form-submit"><input name="submit" type="submit" id="submit" class="submit" value="Отправить комментарий"> <input type="hidden" name="comment_post_ID" value="1972" id="comment_post_ID"> <input type="hidden" name="comment_parent"
id="comment_parent" value="0"> </p><input type="hidden" id="ct_checkjs_6ea9ab1baa0efb9e19094440c317e21b" name="ct_checkjs" value="f6d951e4a9baeb3a3a6e925bb08f1481cc1bdfce0c3c99a308d163ca131c78f0">
<script>
setTimeout(function() {
var ct_input_name = "ct_checkjs_6ea9ab1baa0efb9e19094440c317e21b";
if (document.getElementById(ct_input_name) !== null) {
var ct_input_value = document.getElementById(ct_input_name).value;
document.getElementById(ct_input_name).value = document.getElementById(ct_input_name).value.replace(ct_input_value, 'f6d951e4a9baeb3a3a6e925bb08f1481cc1bdfce0c3c99a308d163ca131c78f0');
}
}, 1000);
</script><input type="hidden" id="apbct_visible_fields_1" name="apbct_visible_fields"
value="eyIwIjp7InZpc2libGVfZmllbGRzIjoiYXV0aG9yIGVtYWlsIGNvbW1lbnQiLCJ2aXNpYmxlX2ZpZWxkc19jb3VudCI6MywiaW52aXNpYmxlX2ZpZWxkcyI6ImNvbW1lbnRfcG9zdF9JRCBjb21tZW50X3BhcmVudCBjdF9ub19jb29raWVfaGlkZGVuX2ZpZWxkIiwiaW52aXNpYmxlX2ZpZWxkc19jb3VudCI6M319"><input
name="ct_no_cookie_hidden_field"
value="_ct_no_cookie_data_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"
type="hidden" class="apbct_special_field ct_no_cookie_hidden_field">
</form>Text Content
Перейти к содержанию
Search for:
SEC-1275-1
* Security
* IOC
* Vulnerabilities
* CVE
* BDU
* Signatures
* Malware
* DGA
* Термины
* Security
* IOC
* Vulnerabilities
* CVE
* BDU
* Signatures
* Malware
* DGA
* Термины
* Security
* IOC
* Vulnerabilities
* CVE
* BDU
* Signatures
* Malware
* DGA
* Термины
Главная страница » IOC
LOKILOCKER, BLACKBIT IOCS
IOC
Опубликовано 19.05.2023
F.A.C.C.T. проанализировали KillChain шифровальщиков LokiLocker и BlackBit
Table of Contents
Toggle
* LokiLocker, BlackBit
* Indicators of Compromise
* IPv4 Port Combinations
* Domains
* URLs
* Emails
* SHA256
LOKILOCKER, BLACKBIT
1. В качестве начального вектора атак злоумышленниками используют
преимущественно скомпрометированные службы удаленного доступа и, прежде
всего, это RDP (Remote Desktop Protocol). Доступ через публично доступный
терминальный сервер является одной из самых популярных техник получения
первоначального доступа к ИТ-инфраструктуре жертвы у киберпреступников,
промышляющих вымогательством за восстановление зашифрованных данных.
2. Для получения доступа к терминальному серверу атакующие могут использовать
подбор имени пользователя и пароля . Также корректные учетные данныемогут
быть приобретены злоумышленниками у других злоумышленников, например, в
андеграунде у брокеров начального доступа.
3. Получив первоначальный доступ, атакующие копируют на скомпрометированный
хост набор инструментов или его часть, а также стремятся закрепиться и
получить доступ к привилегированным учетным данным, чтобы получить
возможность продвигаться по сети.
4. Для получения привилегированных учетных данных атакующие используют
популярную легитимную утилиту mimikatz
* Advanced Port Scanner (https://www.advanced-port-scanner.com/)
(Advanced_Port_Scanner_2.5.3869.exе);
* SoftPerfect Network Scanner
(https://www.softperfect.com/products/networkscanner/) (nasp.exe);
5. Для разведки сети атакующие используют следующие сетевые сканеры:
1. Атакующие используют различные версии консольной утилиты NS (NS.exe,
5-NS.exe) для сканирования общих ресурсов сети (Shares) (T1135) и
подключения их как сетевых дисков, а также монтирования скрытых томов.
Ранее такие утилиты встречались в атаках с использованием
программы-вымогателя Dharma.
2. Для поиска файлов и папок атакующие использовали утилиту Everything
(ET.exe). Это производилось, прежде всего, для поиска аутентификационных
данных, сохраненных в текстовых файлах (T1552).
3. Также злоумышленники просматривали файлы-документы на хостах, но не
похищали их. Предположительно, это делалось для оценки платежеспособности
жертвы и определения суммы выкупа.
6. Для продвижения по сети партнеры используют RDP и учетные данные, которые
были похищены или получены в результате успешного перебора паролей (brute
force)
7. Атакующие предварительно отключают антивирусное программное обеспечение до
развертывания программы-вымогателя
8. Распространение программы-вымогателя по ИТ-инфраструктуре жертвы
производилось атакующими преимущественно вручную
INDICATORS OF COMPROMISE
IPV4 PORT COMBINATIONS
* 157.90.17.53:7300
DOMAINS
* 369828d7529322365c2ef3568e4256b9a40555cc2b2a041fff.buzz
* 782f81bd21c84ba434d3ab489d9cdb85e373e11cfa1d5a73d8ea1746ed3f63d2loki-locker.one
* application-api.xyz
URLS
* http://imagesource.zapto.org
* http://lokifiles.com/
* http://tb28.trainbit.com:8080
EMAILS
* 3ncrypter.m4n@gmail.com
* 3ncryptionfile@gmail.com
* arsupp@tutanota.com
* BaronMonkey@cyberfear.com
* BaronMonkey@onionmail.org
* Blackbit@onionmail.org
* BlackBitSupport@onionmail.org
* Blackfilesupport@firemail.cc
* decliv@aol.com
* Decodemdr@aol.com
* DecodeMDR@Outlook.com
* decrliv@aol.com
* decrypt.ns@gmail.com
* dr.help780@gmail.com
* dr.locker780@gmail.com
* dr.resetfile@gmail.com
* drclkk0@msgden.com
* drclkk00@msgsafe.ninja
* drk00on@onionmail.org
* drk99@onionmail.org
* encrypt.ns@gmail.com
* f5tiger@cock.li
* f5tiger@msgsafe.io
* F5Tiger@tutanota.com
* Falcon360@cock.li
* Filesupport@airmail.cc
* GhostTM@zohomail.com
* GreenMonkey@cyberfear.com
* GreenMonkey@onionmail.org
* Help2You@cock.lu
* Help2You@cyberfear.com
* howrecover@tutamail.com
* kallit3rmux@gmail.com
* medoosa@msgsafe.io
* medoosa@onionmail.org
* mosnar@cyberfear.com
* mosnar@onionmail.org
* onion746@onionmail.com
* Onion749@onionmail.org
* qmwy121@mail2tor.com
* qmwy121@yahoo.com
* recover1@cock.lu
* RickyMonkey@cyberfear.com
* RickyMonkey@onionmail.org
* roxiyo@onionmail.com
* roxiyo1@onionmail.com
* spicy@onionmail.com
* spicy1@tutamail.com
* spystar@onionmail.org
* spystar1@onionmail.com
* suppdecrypt@onionmail.com
* Trustmebb@keemail.me
* TrxFiles@onionmail.org
* TrxFiles@tutanota.com
* unlockerhelp@onionmail.org
* unlocksard@mailfence.com
* Unlocksard@zohomail.eu
SHA256
* 08837c088cd74facf6e840f23bbd2815cba4ec9835d7910ec73268b2b8f3af7a
* 089efde9906a483ca3dcc9edaede9cd3a92dee2fea983113ee673c09d919ca82
* 0923ac3185f9200912d9a2ef021b7cc0f44fb17fd3049441a2a83405c8a28637
* 0c620b4f227192396952bf24133436ff53c287a83e8c0669a115515ee3daaf75
* 0d144b885ff9e8a8c52410c3e1bb80ae06c5f54abf81836e048425945e8658c0
* 0dee659fa261ed1e59af043e8d5abcda6a3189c4b4b040748eba6dfa4c54ee96
* 13933403b4b5d79da1decbc41867c842e3577bcba8ce3859f7d9b881348ad377
* 14322e09195ff302868ab26fb2a4105b153f68adcf6065870828b8e66e8a89fa
* 16dae8bde25111bf592340342fc620277584673caad560e5f5d7bb970c47da70
* 1c2ef6f033059176cfe02ce284b6ac46baae9c3ec1d64cca001064cce10c9c39
* 1d0930fed7eb72f1338b0aed0d47e72731cd599200d83058aec2fd9825fa71c8
* 26d16bc63c093fbde017865985b44a61b1f8e1240bc7459f1d1222eeea2cc4a1
* 27f70a597819317d551f553d9adf6510f63180a65e9faff08d8384a22f8b6779
* 2cc1a64ed6a8157ff91691e99cba2cf16b6040e36d6bbae398d8c27712eb73ae
* 2f15bbcce80d6d1d8297c52285f43ea0b57b9e4ce4bc2ddfaba68151fae6ac86
* 2f22f39ec1b30fbe3d5e6184378ef686de2038d12d98229f5bb14cf10653ea21
* 33eff5a62ed6ede2c5b4a640a7ad0bca6be4326886acf45bc9159177b05b7d28
* 35e0dc397215dba3fe472487fbce1f4266a53eebdbdd50b8380cfcf08c8bed85
* 3651c16b6c3077216f07219fdc79503f999c1a60a8552c58317520a15a7586d5
* 369410a00ec51edbf8d3f30c895b7c31f88955a3cc0442c7ff043fc049efb0c2
* 37885d585b468715c5f0fe50a680da176390064c8d0c6f36a880b8836510a24f
* 3a86c1b256e89071984b8edfe1e8956546865db4a646b16a85f8fd81363f02f8
* 3b01e134b1b88d33914bc02fd1dbf20193083e464a659ad7a3026075e6dc058d
* 43c6aef23a90c742274d6db2148a5cb5027c82e94ba2db4ae4b4184956e370b5
* 43cb03f8ec04adead217700808f116ffb872581a7b343fca8becedf67400834a
* 4791d791affeda2c02122de107afb3bb9394c89869b2196a583693ebb609174d
* 480e45969f51bd5ebcac743bc2ce0731e602beac8065872902dd4715b825cf88
* 49088d480254791c2e8466738d984a5c9411f159e8cf4f5e5f2c696a54e248a8
* 493d7776e36d172cf689ed4cae759a10b10a545297192690fa9fb240a813ad9c
* 4d07236652dce7451ef14b1101172f4a041943fed087693477c538e0041040b0
* 50ab947d4556ce41fcd02eeb5189616265d5135e266da28ff3f96b8ce0d76676
* 50e977d55c56ebb2aa757a64901a89a4bdc2637e6aa2da0aafa6b436ab2093c0
* 562b415c46e5607463d38711cfdd253558410610c6a14d4d0b685f356df865e6
* 6eae5f256537af00c1f53ee711d0bdd9ff1e9ccf771234f74c9fc58bfb63c8fa
* 70ed435b9f05d9f80eda155e87bd22709423e492ac485e0c1e057cc0706c7fd6
* 71b3fe6294847652c62d9d3f53ba8b802c603a9a4c51ace644cc1152de28537b
* 7af437fb6563f0b3fcb1b85d1b4174968c3d15476d994a9a3e3d19c6ca661fb8
* 7e0b15139ba2d3c8a7954ab66ad90172ec7a1235f360cea538f04632d43d4fc1
* 8209b64a1d6982efbe3ff4924e17a9b07db3d8f0d71f4c8eee2bc68f231dca23
* 82b4c91f5efff6db70f9b9317e6a79a43705f0936ba28e819c5b64f902a04add
* 8990cbb68b201ba882a87771f63f4dba38be1db0a8ddda70450c3616bdb8afd6
* 90fad61307312b14eb86e5b64a516392a113ce08a0d30f7b5d402e3934375ec7
* 92c4d7a9c487470147f19e631a52bdac93c0240bcedd5bf10e66813c1ce220f8
* 950dcaef8b0226265e3e0281b079d4a870a73c13e76109be701032cd42b1a291
* 970e56c2abce804b10ca85e5e767c2b97ea3340823ebcd69a5e9cbe9ca7d9b59
* 99982c4ed7fcf0b7917f4ab47bab81444370868f7f60fe1a32ffc7871cb30c8a
* 9c961940a28b17a7e2e6027ebe71a383340a9ba8cf0d6d4a5a2b5ddc0d410671
* 9d0509d9fceb37430146d5b34645c62c5b87dd2cc0c7da6d64800ec3711f41ea
* a565488462c379a6db5c28023ca52cecdd56887ec78059e7e24a5eadde8ed502
* ac62397f364d83a8f9706ee6bb1db5b6f8d023f032a7f7f50778ca50aa5c702e
* ad0edd2bac12a5710015b2c2e83e3416b38997c91edfe327344d1b56f6e9f035
* ada91241f13e557ef7d88a33e293b62677d4445068c90fabd247eb8824d1d6a4
* b155fbcc84d038e3c7d27b25a2c3e13f974c05ed9b9c4d370cc5099a3fee4e8a
* b3324b629febeefb17201abb52bc66094b4ffb292f8aa3a549f39e7e11c63694
* b8ffd72534056ea89bfd48cbe6efb0b4d627a6284a7b763fdb7dfd070c1049ba
* bae24fba731771acb390f44117ae9c5878e34a47f0f4e44e8b89db3ecbd1b8ba
* c0bd0231864779c6595c3eb81d7795e56e9222c99bcb3bb170c1e0ca87f1c519
* c9b1665e58fe0bd5a47bac14d7f262fcb21a90775c97bd778288c21eaac7435b
* ca44a12a109d4e755abe10941853e576322709f69f75ce7ce7c2cbbfd19f1676
* ca95ceeb9c3cc95f71b0e1c133fee12e5030d21f141a1d4dc8c0c1804ae296c1
* cd29a952a51204f2e8744271b822c277b63ad8a54e3a6422e342eb9c53df0bda
* d0010996ee1ea4dc93d327eb3955cc1c8f56f7b9e7eea87206c25982fe7bbfe2
* d1080a9f2b1de6d51ca8a73fa3471f7ed375425f8705bb531302382ff32e6041
* d33aaec9d3ae5fc7165520c42d9284c26729ebf3f196498575fc85151e2b9e41
* d7e8e14ddd625fe429209ee7058bf8c669bc71cf82b72fb344851baac30e1e69
* d89731c02d302e51bc5fd4091070d7f3dd3c086a1ff111e53bfb7ab24ceea7a7
* df87bd63cd337c1f25e82fb6a71f75a3ff279ac0dcb12f31d8972fa7c13c6334
* e32437c4978ec158bcadef18829207caa7db36108d7813db2f0098cc003a1533
* e370db365086148c530dd9f6c3a6abb9da04b031ab17811ecab732c1eb44e6f6
* f0c572bdfdabfa8b229a171aba291fb96fb38f496c83d868c64acd5706ab7c19
* f4b33470a9e638b3c6c79cff68bb5adfac299d9ab5d13a672a1c0e9e789b7107
* fd7befc14e82c66206160728cc4d7874a05de89af52145171b57e404bbc71c3c
Похожие записи:
1. LokiLocker Ransomware IOC
2. BlackBit Ransomware IOCs
3. LokiLocker Ransomware IOCs
BlackBit F.A.C.C.T. LokiLocker
Gnostis
Добавить комментарий Отменить ответ
Имя *
Email *
Комментарий
RSS
indicator of compromise
CVE
BDU
Свежие записи
* CVE-2024-39525: Выполнение произвольного кода в Junos OS and Junos OS Evolved
rpd
* CVE-2024-47497: Отказ в обслуживании в Junos OS httpd
* CVE-2024-47502: Отказ в обслуживании в Junos OS Evolved
* CVE-2024-47499: Отказ в обслуживании в Junos OS and Junos OS Evolved RPD
* CVE-2024-20518: Выполнение произвольного кода в Cisco Small Business RV042,
RV042G, RV320 and RV325 Routers
* CVE-2024-20519: Выполнение произвольного кода в Cisco Small Business RV042,
RV042G, RV320 and RV325 Routers
* CVE-2024-20520: Выполнение произвольного кода в Cisco Small Business RV042,
RV042G, RV320 and RV325 Routers
* CVE-2024-20521: Выполнение произвольного кода в Cisco Small Business RV042,
RV042G, RV320 and RV325 Routers
* CVE-2024-20498: Отказ в обслуживании в Cisco Meraki MX and Cisco Meraki Z
Series Teleworker Gateway devices
* CVE-2024-20499: Отказ в обслуживании в Cisco Meraki MX and Cisco Meraki Z
Series Teleworker Gateway devices
Популярные записи:
* CVE-2024-47076: Получение конфиденциальной…
* CVE-2024-47177: Выполнение произвольного кода в…
* CVE-2024-47561: Выполнение произвольного кода в Apache Avro
* CVE-2024-47175: Получение конфиденциальной…
* CVE-2024-41585: Выполнение произвольного кода в…
* CVE-2024-41592: Выполнение произвольного кода в…
* CVE-2024-41589: Получение конфиденциальной…
* CVE-2024-38526: Выполнение произвольного кода в…
* Bumblebee Loader IOCs - Part 10
* Embargo Ransomware IOCs
2022-2024 © General Software
Обратная связь