Было замечено, что программа-вымогатель Quantum, впервые обнаруженная в августе 2021 года, проводит быстрые атаки, оставляя мало времени для реагирования. Злоумышленники используют вредоносное ПО IcedID в качестве одного из своих первоначальных векторов доступа, которое развертывает Cobalt Strike для удаленного доступа и приводит к краже данных и шифрованию с использованием Quantum Locker.
Технические детали атаки программы-вымогателя Quantum были проанализированы исследователями безопасности в отчете DFIR, которые говорят, что атака длилась всего 3 часа 44 минуты с момента первоначального заражения до завершения шифрования устройств.
IcedID — это модульный банковский троян, используемый в течение последних пяти лет, в основном для развертывания полезной нагрузки второго этапа, загрузчиков и программ-вымогателей.
Комбинация IcedID и архивов ISO недавно использовалась в других атаках, поскольку эти файлы отлично подходят для прохождения через элементы управления безопасностью электронной почты.
В конце концов злоумышленники использовали WMI и PsExec для развертывания полезной нагрузки программы-вымогателя Quantum и шифрования устройств.
Эта атака заняла всего четыре часа, что довольно быстро, и, поскольку эти атаки обычно происходят поздно ночью или в выходные дни, она не дает администраторам сети и безопасности достаточно времени для обнаружения атаки и реагирования на нее.
Для получения более подробной информации о TTP, используемых Quantum Locker, в отчете DFIR представлен обширный список индикаторов компрометации, а также адреса C2, к которым IcedID и Cobalt Strike подключались для связи.