Операция ransomware под названием LeakNet значительно развила свою стратегию получения первоначального доступа, развернув тактику социальной инженерии "ClickFix" через скомпрометированные легитимные веб-сайты. Согласно новому техническому отчету компании по кибербезопасности ReliaQuest, это знаменует стратегический отход от традиционных методов, таких как покупка украденных учетных данных у брокеров начального доступа (IAB). Атаки ClickFix манипулируют пользователями, заставляя их вручную выполнять вредоносные команды под предлогом исправления вымышленной ошибки, например, сбоя фальшивой проверки CAPTCHA. Этот подход позволяет злоумышленникам обходить технические средства защиты, используя человеческое доверие и рутинные рабочие процессы, закидывая широкую сеть по различным отраслям, а не целясь в конкретный сектор.
Вторым критически важным техническим нововведением в цепочке атак LeakNet является развертывание сложного многоэтапного загрузчика командования и управления (C2), построенного на среде выполнения Deno для JavaScript. Этот загрузчик предназначен для выполнения вредоносных нагрузок непосредственно в памяти (техника, известная как "безфайловое" выполнение), что значительно затрудняет обнаружение традиционными антивирусными решениями, которые полагаются на сканирование файлов, записанных на диск. Использование Deno, современной среды выполнения для JavaScript и TypeScript, предоставляет злоумышленникам мощную и гибкую платформу для организации действий после эксплуатации, дополнительно скрывая их операции от средств безопасности.
Совмещение этих двух тактик — социальной инженерии для доступа и расширенного выполнения в памяти для развертывания — создает мощную и повторяемую последовательность атак. Как отмечают аналитики ReliaQuest, ключевое защитное понимание заключается в том, что независимо от первоначальной точки входа (ClickFix или купленный доступ), поведение после эксплуатации является последовательным. Это предоставляет защитникам конкретные возможности обнаружения на различных этапах жизненного цикла атаки, задолго до развертывания окончательной нагрузки ransomware. Понимание этой последовательности — от фальшивой приманки CAPTCHA до загрузчика в памяти на основе Deno — имеет решающее значение для создания поведенческих сигнатур обнаружения, которые могут нарушить цепочку атаки на ранней стадии.
Операционные преимущества для LeakNet существенны. Метод ClickFix снижает зависимость от ненадежных сторонних брокеров доступа, снижает стоимость получения каждой жертвы и устраняет узкое место, связанное с ожиданием появления ценных корпоративных учетных данных на теневых рынках. Впервые появившись в ноябре 2024 года и позиционируя себя как "цифровой сторожевой пес" за "свободу интернета", LeakNet нацеливался на промышленные объекты, согласно данным компании по промышленной кибербезопасности Dragos. Его принятие этих передовых методов сигнализирует о более широкой тенденции, когда группы ransomware все чаще превращают доверенное взаимодействие с пользователями в оружие и используют современные платформы разработки, такие как Deno, для повышения скрытности и эффективности.
