В мае этого года российская компания, специализирующаяся на производстве и продаже оборудования, стала жертвой атаки, в результате которой была зашифрована ее ИТ-инфраструктура. Зашифрованные файлы имели расширение «BLackShadow«. При расследовании инцидента наши специалисты испытали устойчивое чувство дежавю: подобные тактики, техники и процедуры мы видим все чаще и чаще. И это отнюдь не копирование лучших практик конкурентов. В этих атаках не используются изощренные методы и инновации, да и сами атакующие не выделяются высокими компетенциями, под стать этому и скромные суммы требуемого ими выкупа за восстановление данных. Злоумышленники не тратят силы и время на кражу информации и ее последующую публикацию с целью дополнительного шантажа жертвы: их вполне устраивает небольшой, но стабильный гонорар, да и жертвам вполне по силам выплачивать такие суммы.

В той майской атаке применялась незнакомая для нас программа-вымогатель, которая и привлекла наше внимание. Использование в программе-вымогателе строки с неприличным подтекстом в качестве констант алгоритма шифрования ChaCha20 также вызвало дополнительный интерес к ее авторам. У этой программы сразу нашлось два «близких родственника» – программы, шифрующие файлы с расширениями «BLackSh» и «BlackStore» соответственно. А в середине июля 2023 года, в процессе написания данного блога, была найдена программа-вымогатель, использующая расширение «Black» для зашифрованных файлов. Так появилось семейство, которое мы назвали BlackShadow.

Семейство программ-вымогателей BlackShadow

Цель Вымогательство выкупа у жертв за расшифровку данных
Жертвы Компании малого и среднего бизнеса по всему миру. Большинство атак осуществляется на российские компании
Сумма выкупа 5000-30 000 долларов в биткоинах (450 000-2 700 000 в рублях по текущему курсу)
Период активности С января 2023 года по настоящее время
Начальный вектор атаки Скомпрометированные службы удаленного доступа
Программа-вымогатель Программа-вымогатель не имеет широких функциональных возможностей, но представляет собой простое и эффективное средство шифрования данных без возможности их расшифровки при отсутствии закрытого ключа
Особенности Существует большое количество подсемейств и вариантов подпрограммы-вымогателя, их распространение носит закрытый характер

Атакующие не похищают данные жертвы, соответственно не имеют сайт утечек (DLS). Для взаимодействия с жертвой злоумышленники преимущественно используют электронную почту

При первом взгляде на BlackShadow сразу становится очевидным, что целью этих шифровальщиков являются русскоязычные жертвы. Дальнейшее исследование генеалогии семейства привело нас к событиям января 2023 года: 16 января было опубликовано первое упоминание о новом семействе Proxima, а спустя неделю – о семействе BTC-azadi. Анализ показал, что эти семейства и BlackShadow имеют общие корни: они разработаны на основе одних и тех же исходных кодов. В дальнейшем были найдены и другие варианты, например Cylance. Все эти и другие найденные родственные программы относятся к семейству, которое названо Proxima по праву первого публичного упоминания программ данного семейства. Датой «рождения» Proxima можно условно считать 1 января 2023 года.

В указанной выше публикации о семействе BTC-azadi подмечено, что слово «azadi» (آزادی), которое использовалось злоумышленниками в своих аккаунтах электронной почты, с фарси и других ему родственных языков переводится как «свобода». Возможно, полученные за счет шантажа денежные средства являются для этих атакующих в какой-то степени выражением свободы. Не исключаем, что это могло быть сделано специально для проведения атак «под чужим флагом». Но нельзя не отметить тенденцию, что программы-вымогатели «со странностями», такие как, например, BlackBit / LokiLocker и RCRU64, используются для атак по всему миру, и осуществляются эти атаки по похожему сценарию. Россия по количеству атак с использованием подобных программ-вымогателей за текущий год находится в числе лидеров.

Также мы отмечаем, что в текстовых файлах с требованиями выкупа, которые создают программы-вымогатели Proxima, а также в строковых данных программ-вымогателей содержится немало опечаток. Например, нам показалась очень забавной опечатка в тексте с требованием выкупа программы-вымогателя, использующей расширение «Merlin» для зашифрованных файлов: там дважды вместо слова «messages» используется «massages» (рис. 1).

Фрагмент содержимого Merlin_Recover.txt

Рис. 1. Фрагмент содержимого Merlin_Recover.txt

Другая программа-вымогатель, использующая расширение «uploaded«, вызвала интерес тем, что в ее записке с требованием выкупа указана ссылка TOR на сайт утечек (DLS) RA Group, что может свидетельствовать о том, что эта программа могла быть использована для атаки одним из партнеров RA Group. Возможно, эта ссылка помещена просто для устрашения жертвы. Использовали ли эту программу именно партнеры RA Group или нет, на данный момент мы не можем это подтвердить или опровергнуть.

Несколько обескураживает такое многообразие вариантов Proxima. Но несомненно, все эти программы-вымогатели разработаны на основе одних исходных кодов. Можно предположить, что распространение этих исходных кодов носит закрытый характер, а использование созданных на их основе программ-вымогателей осуществляется также в закрытом кругу различными группами, которые, возможно, их дорабатывали под свои нужды. Также стоит отметить еще один факт: в программах Proxima не используется обфускация. Вероятно, такое многообразие может использоваться для распыления внимания на многие группы киберпреступников.

География атак с использованием Proxima, как и в случае с BlackBit / LokiLocker, самая разнообразная: жертвы разбросаны по всему миру, это такие страны, как: Россия, Австрия, Вьетнам, Германия, Индия, Колумбия, Мексика, Молдавия, США, Украина, Япония.

По нашей информации, в России от атак с использованием программ-вымогателей Proxima пострадали компании из Москвы, Барнаула, Воронежа, Екатеринбурга, Красноярска, Новосибирска, Санкт-Петербурга, Ростова-на-Дону и Уфы.

Описание атаки BlackShadow

Получение первоначального доступа

Для получения первоначального доступа к ИТ-инфраструктуре компании-цели атакующие используют службу удаленных рабочих столов Windows (RDP) на публично доступных серверах жертвы.

Учетные данные злоумышленники получают в результате атаки методом перебора. Однако учетные данные могут быть также приобретены атакующими у брокеров первоначального доступа или операторов стилеров – программ, осуществляющих кражу конфиденциальной информации.

В рамках исследованного нами инцидента для осуществления большинства подключений атакующие использовали IP-адрес 37.221.59.212 (Тегеран, Иран). На начальном этапе атаки подключения также осуществлялись с IP-адреса 212.251.32.195 (Фессалия, Греция).

Подготовка к развитию атаки

Получив доступ к хосту, расположенному во внутреннем сегменте инфраструктуры жертвы, атакующие загружают на него набор инструментов, необходимых для последующих этапов атаки.

В дальнейшем при получении доступа к новым хостам атакующие копируют на него этот же набор утилит для сбора дополнительной информации об устройстве инфраструктуры и активности пользователей.

Повышение привилегий

В исследованных нами инцидентах атакующие достаточно быстро получали доступ к различным привилегированным учетным записям, однако основные действия осуществляли от имени рядовых пользователей. Для этого они добавляли эти учетные записи в группы с повышенными привилегиями.

Для локального повышения привилегий до уровня системы (SYSTEM) атакующие используют старую, но не ставшую со временем менее эффективной технику, которая заключается в установке командного интерпретатора Windows C:\windows\system32\cmd.exe в качестве отладчика программы специальных возможностей sethc.exe (T1546.008, T1546.012).

Сбор информации об ИТ-инфраструктуре, обогащение учетных данных

После получения доступа и загрузки необходимого набора утилит атакующие в первую очередь занимаются компрометацией наибольшего количества учетных записей и сбором сведений о привилегированных пользователях.

Атакующие используют популярную утилиту Mimikatz (https://github.com/gentilkiwi/Mimikatz), позволяющую извлекать пароли из памяти скомпрометированного хоста.

Помимо этого, для обогащения аутентификационными данными атакующие используют утилиты NirSoft, существенно упрощающие получение сохраненных паролей из сторонних приложений, таких как веб-браузеры и почтовые клиенты:

  • WebBrowserPassView (web.exe);
  • ChromePass (chroms.exe);
  • Mail PassView (mailpv.exe);
  • MessenPass (mspass.exe);

а также из системных компонентов:

  • WirelessKeyView (WirelessKeyView64.exe)
  • RouterPassView (RouterPassView.exe)
  • Network Password Recovery (netpass64.exe)
  • Dialupass (Dialupass.exe).

Для поиска небрежно оставленных паролей в пользовательских заметках атакующие используют утилиту Everything (everything.exe), которая также применяется для поиска и другой ценной информации о жертве.

После того как атакующие соберут максимально возможное количество потенциальных паролей, они приступают к подбору паролей к новым ресурсам, пользуясь тем, что пользователи зачастую используют одинаковые и нестойкие пароли. Для этого злоумышленники используют утилиту NL-Brute из их набора инструментов, загруженного в самом начале атаки.

Мы заметили, что атакующие нередко следуют своему мануалу бездумно, просто копируя команды без их адаптации для своего случая. Например, из-за этого в журналах событий выявлено большое количество неудачных попыток авторизации пользователя «Domain\Username«.

Для разведки сети атакующие используют следующие сетевые сканеры:

  • SoftPerfect Network Scanner (https://www.softperfect.com/products/networkscanner/) (netscan.exe);
  • Advanced IP Scanner (https://www.advanced-ip-scanner.com/) (advanced_ip_scanner.exe).

Атакующие используют консольную утилиту NS (NS.exe, 5-NS.exe) (рис. 2) для сканирования общих ресурсов сети и подключения их как сетевых дисков, а также монтирования скрытых томов. Ранее эта утилита встречалась в атаках с использованием программ-вымогателей Dharma и BlackBit / LokiLocker.

Консольная утилита NS BlackShadow

Рис. 2. Консольная утилита NS

Продвижение по сети

Овладев к началу данного этапа атаки необходимым количеством учетных данных и сведениями о построении сети, атакующие приступают к перемещению по хостам ИТ-инфраструктуры жертвы. Для этого они преимущественно используют службу удаленных рабочих столов Windows (RDP), но также есть свидетельства использования и легитимной утилиты PsExec, позволяющей удаленно выполнять команды с использованием ранее скомпрометированных учетных данных.

Получив доступ к новым устройствам инфраструктуры, атакующие повторяют действия, направленные на обогащение имеющейся в их распоряжении информации об ИТ-инфраструктуре, и компрометацию выявленных новых учетных данных.

Помимо этого, атакующие активно изучают файлы и сетевые ресурсы, которые могут быть связаны с резервными копиями, и по возможности получают к ним доступ для дальнейшего шифрования с целью нанесения жертве максимального урона.

Для упрощения доступа к некоторым хостам инфраструктуры жертвы атакующие настраивают на маршрутизаторах перенаправление сетевых портов таким образом, чтобы иметь возможность подключаться к этим хостам напрямую из внешней сети.

Закрепление в инфраструктуре

Для сохранения доступа к инфраструктуре атакующие создают учетную запись доменного пользователя и добавляют ее в группы с повышенными привилегиями.

Предотвращение обнаружения

Для того чтобы скрыть от пользователя свое присутствие в системе, атакующие сохраняют инструментарий и вспомогательные файлы в скрытые системные директории «%WinDir%\PerfLogs» и пользовательские директории «%UserProfile%\Pictures«. Также для противодействия обнаружению и для усложнения криминалистического анализа атакующие подменяют временные метки некоторых загруженных файлов.

При этом, всячески стремясь остаться незамеченными, атакующие проявляют неосторожность. Так, в расследованном нами инциденте большая часть загруженных ими на хост инструментов была поначалу заблокирована и удалена встроенным антивирусом Windows Defender. И только после его отключения атакующие уже успешно произвели загрузку необходимых утилит.

Для маскировки программы-вымогателя под легитимную программу атакующие используют имя «Msmpegs.exe«, схожее с именем системного компонента компании Microsoft.

Запуск программы-вымогателя

После захвата ИТ-инфраструктуры жертвы атакующие очищают на хостах журналы событий Windows (Event Logs), удаляют свой ранее загруженный инструментарий и созданные в ходе атаки вспомогательные файлы, и далее приступают к распространению программы-вымогателя.

Перед запуском программы-вымогателя атакующие меняют пароли учетных записей сотрудников ИТ-департамента для усложнения восстановления ИТ-инфраструктуры.

Распространение программы-вымогателя по ИТ-инфраструктуре и запуск производится атакующими преимущественно вручную.

Анализ программы-вымогателя BlackShadow

Программы-вымогатели BlackShadow представляют собой 32-разрядные консольные приложения для Windows формата PE32, разработанные на языке программирования C в среде разработки Microsoft Visual Studio. Программы-вымогатели не обфусцированы.

Шифровальщики BlackShadow не обладают широкими функциональными возможностями, такими как, например, самораспространение или шифрование в безопасном режиме. Но они просты и эффективны для выполнения своей основной задачи – шифрования файлов в ИТ-инфраструктуре жертвы без возможности их восстановления при отсутствии закрытого ключа. Программы не содержат странных решений подобно BlackBit / LokiLocker и RCRU64, а больше походят по коду на BlackMatter и Babuk.

Весьма наглядным с точки зрения демонстрации функциональных возможностей BlackShadow будет код ее главной функции main (рис. 3).

Код функции main программы-вымогателя BlackShadow

Рис. 3. Код функции main программы-вымогателя BlackShadow (расширение «BLackShadow»)

Такой же код main можно увидеть практически во всех программах-вымогателях семейства Proxima. В каких-то образцах порядок вызова ряда функций будет несколько иным, а для некоторых функций вместо их вызова будет содержаться непосредственно код этих функций (inline function) (рис. 4). Но сути это не меняет: все программы-вымогатели семейства Proxima имеют общие корни, различия между программами-вымогателями подсемейств не настолько значительны, чтобы их выделять в отдельные семейства.

Фрагмент кода функции main программы-вымогателя BlackShadow

Рис. 4. Фрагмент кода функции main программы-вымогателя BlackShadow (вариант с расширением «Black»)

В начале своей работы программа-вымогатель создает задачу планировщика «Windows Update BETA» для запуска исполняемого файла вымогателя при каждом старте системы в контексте системной учетной записи:

SCHTASKS.exe /Create /RU "NT AUTHORITY\SYSTEM" /sc onstart /TN "Windows Update BETA" /TR "'<RANSOM_PATH>' <RANSOM_ARGS>" /F
  • RANSOM_PATH – путь к исполняемому файлу программы-вымогателя;
  • RANSOM_ARGS – аргументы командной строки, указанные при запуске программы-вымогателя.

Перед шифрованием файлов шифровальщик устанавливает высокий приоритет для своего процесса, очищает корзину, удаляет теневые копии томов и монтирует скрытые тома. Для удаления теневых копий томов программа использует запросы WQL (WMI Query Language).

В последней выявленной на текущий момент программе BlackShadow с расширением для зашифрованных файлов «Black» дополнительно для удаления каталогов корзины выполняются следующие команды оболочки Windows:

rd /s /q P:\$RECYCLE.BIN,Q:\$RECYCLE.BIN,R:\$RECYCLE.BIN,S:\$RECYCLE.BIN,T:\$RECYCLE.BIN,U:\$RECYCLE.BIN,V:\$RECYCLE.BIN,W:\$RECYCLE.BIN,X:\$RECYCLE.BIN,F:\$RECYCLE.BIN,G:\$RECYCLE.BIN,K:\$RECYCLE.BIN,L:\$RECYCLE.BIN,M:\$RECYCLE.BIN,N:\$RECYCLE.BIN,O:\$RECYCLE.BIN,Y:\$RECYCLE.BIN,Z:\$RECYCLE.BIN,A:\$RECYCLE.BIN,B:\$RECYCLE.BIN,C:\$RECYCLE.BIN,D:\$RECYCLE.BIN,E:\$RECYCLE.BIN,H:\$RECYCLE.BIN,I:\$RECYCLE.BIN,J:\$RECYCLE.BIN

rd /s /q P:\Recycler,Q:\Recycler,R:\Recycler,S:\Recycler,T:\Recycler,U:\Recycler,V:\Recycler,W:\Recycler,X:\Recycler,F:\Recycler,G:\Recycler,K:\Recycler,L:\Recycler,M:\Recycler,N:\Recycler,O:\Recycler,Y:\Recycler,Z:\Recycler,A:\Recycler,B:\Recycler,C:\Recycler,D:\Recycler,E:\Recycler,H:\Recycler,I:\Recycler,J:\Recycler

powershell -inputformat none -outputformat none -NonInteractive -Command Remove -Item 'd:\$RECYCLE.BIN','c:\$RECYCLE.BIN' -Recurse -Force

Также в данном варианте программы-вымогателя добавлен функционал по выполнению команд оболочки Windows для осуществления следующих действий:

  • очистки журналов событий Windows (Event Logs):
FOR / F "delims=" %I IN ('WEVTUTIL EL') DO (WEVTUTIL CL "%I")
  • удаления теневых копий томов с помощью vssadmin.exe и wmic.exe, удаления резервных копий состояния системы, отключения функции безопасности Windows DEP (Data Execution Prevention):
vssadmin.exe delete shadows /all /quiet&&wbadmin delete catalog -quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE
  • попытки добавления пути в список исключений Windows Defender (в коде программы допущена ошибка: вместо непосредственной команды выполняется ее форматная строка):
powershell -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath "%s"
  • отключения/удаления Windows Defender (в команде, которая осуществляет модификацию параметра реестра для отключения антивируса Windows Defender, указан некорректный путь к разделу системного реестра):
powershell -inputformat none -outputformat none -NonInteractive -Command Remove-WindowsFeature Windows-Defender&&powershell -inputformat none -outputformat none -NonInteractive -Command Windows-Defender-GUI&&powershell -inputformat none -outputformat none -NonInteractive -Command New-ItemProperty -Path "HKLM:SOFTWAREPoliciesMicrosoftWindows Defender" -Name DisableAntiSpyware -Value 1 -PropertyType DWORD -Force

powershell -inputformat none -outputformat none -NonInteractive -Command Get-Service WinDefend | Stop-Service -PassThru | Set-Service -StartupType Disabled&&powershell -inputformat none -outputformat none -NonInteractive -Command Set-MpPreference -DisableRealtimeMonitoring $true

Для предотвращения восстановления данных программа-вымогатель после шифрования файлов осуществляет очистку свободного пространства дисков хоста с помощью содержащейся в ней программы-вайпера.

Программа-вымогатель в процессе своего функционирования ведет текстовый файл отчета в текущем каталоге (рис. 5).

Пример файла отчета программы-вымогателя BlackShadow.

Рис. 5. Пример файла отчета программы-вымогателя BlackShadow

Имена файлов, используемые программами-вымогателями BlackShadow:

Расширение зашифрованных файлов BLackSh BLackShadow BlackStore Black
Имя файла отчета wind.dll wind.dll Black.dll CC51.dll
Имя текстового файла с требованием выкупа BLackSh_Help.txt BLackShadow_Help.txt BlackStore_Help.txt Black_Recover.txt
Имя файла программы-вайпера reg.sys reg.sys Brlg.sys Diag.exe
Имя неиспользуемого файла W.bmh W.bmh B.bmh W.bmh

Нередко спутником программ-вымогателей BlackShadow и Proxima в целом, как и в случае с BlackBit / LokiLocker, становится безвредный файловый вирус Neshta.

Шифрование файлов

Программа-вымогатель шифрует файлы на фиксированных, съемных и сетевых дисках. Если при запуске программы указан аргумент командной строки «-nonetdrive«, шифрование файлов на сетевых дисках не осуществляется.

Для шифрования файлов в программе-вымогателе используется  высокопроизводительная реализация многопоточности с использованием I/O (Input/Output) Completion Port (IOCP).

Имена каталогов, пропускаемых программой-вымогателем при шифровании (для варианта с расширением «BLackShadow«):

Windows MSOCache Mozilla Firefox yapin
DriveFS $RECYCLE.BIN Comms YandexBrowser
Microsoft OneDrive Default Package Cache Yandex.Telemost
$Windows.~bt Config.Msi SoftwareDistribution Yandex.Notes
$windows.~ws tor browser USOPrivate Yandex.Disk.2
windows.old microsoft USOShared SearchBand
windows nt google qmlcache BrowserManager
All Users Microsoft Visual Studio 16.0 Opera Software RaiDrive
Boot Anydesk Mozilla Kaspersky Lab
Intel WindowsApps Microsoft Help YandexDisk2
PerfLogs Windows Defender Foxit Reader Kerio
System Volume Information AVG ESET VPN Client

Имена файлов, пропускаемых программой-вымогателем при шифровании (для варианта с расширением «BLackShadow«):

ntldr autorun.inf boot.ini BOOTNXT
ntuser.dat thumbs.db desktop.ini YandexDisk2.exe
bootsect.bak iconcache.db ntuser.ini
ntuser.dat.log bootfont.bin bootmgr

Также не шифруются файлы с именами, которые программа-вымогатель использует для создаваемых ею файлов.

Расширения файлов, пропускаемых программой-вымогателем при шифровании (для варианта с расширением «BLackShadow«):

386 diagcab ics nls sys
adv diagcfg idx nomedia theme
ani diagpkg ldf ocx themepack
bat dll lnk prf wpx
cab drv mod ps1 lock
cmd exe mpa rom hta
com hlp msc rtp msi
cpl icl msp scr pdb
cur icns msstyles shs search-ms
deskthemepack ico msu spl rdp

Также не шифруются файлы с расширением, которое программа-вымогатель использует для зашифрованных файлов.

Для получения доступа к файлу программа-вымогатель может завершать процессы, которые блокируют доступ к указанному файлу. Для получения информации о таких процессах программа использует функции Windows Restart Manager (RstrtMgr.dll). Программа-вымогатель не завершает процессы, имена которых содержат следующие подстроки (для варианта с расширением «BLackShadow«):

AnyDesk googledrive GoogleDriveFS VPN Client
TeamViewer OneDrive YandexDisk2
Yandex DropBox Kerio

Также шифровальщик для получения доступа к файлу может пытаться изменить права владения им с помощью функций Access Control List (ACL) API SetEntriesInAclW и SetNamedSecurityInfoW.

Состав «белых» списков несколько различается в программах-вымогателях BlackShadow, но по нему можно сделать недвусмысленный вывод, что пользователи программного обеспечения Yandex и Kaspersky Lab являются одними из целей злоумышленников. Примечательно, что во всех программах-вымогателях BlackShadow в составе «белого» списка имен используется строка с ошибочно введенным начальным пробелом – » YandexDisk2.exe«.

Шифрование данных программами-вымогателями BlackShadow осуществляется с использованием алгоритма потокового шифрования ChaCha20/8. Для каждого файла в программе-вымогателе производится генерация 32-байтного закрытого ключа (private key) и 8-байтного одноразового кода (nonce). Для генерации случайных данных используется функция Cryptography API: Next Generation BCryptGenRandom.

Из сгенерированного закрытого ключа путем протокола обмена ключей Elliptic curve Diffie–Hellman (ECDH), реализованного с помощью Curve25519, вычисляются 32-байтные открытый (public key) и общий (shared secret key) ключи. Используемый для обмена отрытый ключ атакующих содержится в коде программы. От полученного общего ключа вычисляется хеш-сумма SHA256, которая используется в качестве ключа шифрования ChaCha20/8.

В программе-вымогателе в реализации алгоритма шифрования ChaCha20/8 используются нестандартные константы, о чем мы говорили в самом начале:

0x64726168, 0x65726F63, 0x6F6C6220, 0x626F6A77hardcore blowjob«).

Шифрование файлов может быть осуществлено несколькими способами (режимами):

Режим шифрования Описание
full Содержимое файла шифруется полностью
fast В файле шифруется начальный блок размером 1 МБ
split Содержимое файла шифруется блоками размером 1 МБ через определенный интервал. Размер интервала по умолчанию составляет 4 МБ, может быть указан в значении параметра командной строки -skip (0-255).

Если в командной строке указан параметр «-mode custom«, размер интервала определяется в зависимости от размера файла

Выбор способа (режима) зависит от расширения и размера файла, а также он может быть непосредственно указан в значении аргумента командной строки «-mode».

По умолчанию программа шифрует полностью (full) файлы со следующими расширениями (для варианта с расширением «BLackShadow«):

4dd daschema exb kdb nv2 sis abs
4dl db fcd kexi nwdb spq abx
accdb db-shm fdb kexic nyf sql accdw
accdc db-wal fic kexis odb sqlite adn
accde db3 fmp lgc oqy sqlite3 db2
accdr dbc fmp12 lwx orx sqlitedb fm5
accdt dbf fmpsl maf owc te hjt
accft dbs fol maq p96 temx icg
adb dbt fp3 mar p97 tmd icr
ade dbv fp4 mas pan tps kdb
adf dbx fp5 mav pdm trc lut
adp dcb fp7 mdb pnz trm maw
arc dct fpt mdf qry udb mdn
ora dcx frm mpd qvd udl mdt
alf ddl gdb mrg rbf usr ibd
ask dlis grdb mud rctd v12 zip
btr dp1 gwi mwb rod vis back
bdf dqy hdb myd rodx vpd bak
cat dsk his ndf rpd vvv backup
cdb dsn ib nnt rsd wdb tar
ckp dtsx idb nrmlib sas7bdat wmdb rar
cma dxl ihx ns2 sbf wrk 7z
cpd eco itdb ns3 scx xdb xls
dacpac ecx itw ns4 sdb xld xlsx
dad edb jet nsf sdc xmlff diff
dadiagrams epim jtx nv sdf abcddb rdp

Остальные файлы шифруются блоками (split) c интервалом по умолчанию 4 МБ. Размер интервала может быть указан в значении параметра командной строки «-skip».

По умолчанию в программе-вымогателе установлен приоритет шифрования больших файлов, размер которых 10 МБ и более. Если в командной строке шифровальщика указан аргумент «-priority off«, данный приоритет отключается.

После шифрования содержимого файла в его конец добавляется блок метаданных размером 64 байта.

Смещение Размер Описание
00h 16 Зашифрованные с помощью ChaCha20/8 параметры шифрования. Для шифрования используется тот же ключ, что и для шифрования данных файла
4 Режим шифрования (порядок байтов littleendian):

1 – full

2 – fast

3 – split

4 Не используется
8 Интервал между блоками для режима шифрования split (порядок байтов littleendian)
10h 32 Открытый ключ для файла
30h 8 Одноразовый код (nonce) ChaCha20/8
38h 4 Контрольная сумма CRC32 ключа шифрования ChaCha20/8
3Сh 4 Контрольная сумма CRC32 открытого ключа шифрования

Во избежание повторного шифрования программа-вымогатель перед  шифрованием файла дополнительно проверяет наличие метаданных в его конце, для этого программа вычисляет и сравнивает контрольную сумму CRC32 открытого ключа. При соответствии файл не шифруется.

Имена зашифрованных файлов имеют следующий вид:

<FILENAME>.<RANSOM_EXT>, где:

  • FILENAME – оригинальное имя файла;
  • RANSOM_EXT – строка, содержащаяся в коде программы, которая используется в качестве расширения.

В каждом обработанном каталоге программы-вымогатели BlackShadow создают текстовые файлы с требованием выкупа за расшифровку файлов, их текст в зависимости от варианта BlackShadow несколько различается между собой (рис. 6 и рис. 7). Варианты BlackShadow с расширениями зашифрованных файлов «BLackSh«, «BLackShadow«, «BlackStore» используют для файлов с требованием выкупа имя «<RANSOM_EXT>_Help.txt«, где RANSOM_EXT – расширение зашифрованных файлов, а вариант с расширением «Black» – имя «Black_Recover.txt«.

Содержимое BLackShadow_Help.txt

Рис. 6. Содержимое BLackShadow_Help.txt

Содержимое Black_Recover.txt

Рис. 7. Содержимое Black_Recover.txt

Идентификатор ID представляет собой первые 8 байт открытого ключа атакующих в шестнадцатеричном представлении (16 шестнадцатеричных символов в верхнем регистре).

Очистка  свободного дискового пространства

Для очистки свободного пространства дисков хоста программа-вымогатель извлекает в каталог %CommonAppData% содержащуюся в ее теле вспомогательную программу-вайпер и запускает ее.

Вайпер создает для каждого диска поток, который записывает в скрытый файл «0F3LWP.tmp» корневого каталога каждого диска 512-килобайтные блоки с нулевым заполнением до тех пор, пока запись в файл не вызовет ошибку. Сразу после закрытия файла он автоматически удаляется (флаг FILE_FLAG_DELETE_ON_CLOSE функции CreateFileW).

При запуске вайпера может быть указан один из следующих параметров командной строки:

Параметр

Описание

/RESTART Осуществить перезагрузку компьютера после завершения работы вайпера
/SHUTDOWN Выключить компьютер после завершения работы вайпера

После завершения своей работы вайпер удаляет свой исполняемый файл.

В процессе работы вайпер создает мьютекс «Global\FSWiper«.

Параметры командной строки BlackShadow

Параметр

Описание

-path <PATH> Шифровать файлы только по указанному пути (PATH)
-mode <ENC_MODE> Установить режим шифрования файлов.

ENC_MODE представляет собой одно из следующих значений:

full – шифрование файлов полностью;

fast – быстрое шифрование файлов: в файлах шифруются начальные блоки файлов размером 1 МБ;

split – шифрование файлов блоками через интервал (по умолчанию – 4 МБ);

custom – пользовательский режим:

— файлы из списка расширений:

до 16 МБ — шифруются полностью;

свыше 16 МБ блоками размером 1МБ через следующие интервалы соответственно размерам файлов:

16-512 МБ — 256 КБ;

512 МБ — 8 ГБ — 4 МБ;

8 — 64 ГБ — 64 МБ;

64 ГБ — 2 ТБ — 1 ГБ;

более 2 ТБ — 16 ГБ.

Остальные файлы шифруются в режиме fast

-priority off Отключить приоритет шифрования больших файлов.

Если флаг не указан, используется приоритет шифрования файлов размером 10 МБ и более

-skip <SKIP> Указать интервал для режима шифрования блоками (split). SKIP – целое число.

В качестве размера интервала используется остаток от деления значения SKIP на 256, то есть размер интервала может составлять от 0 до 255 байт.

-power <POWER> Осуществлять с помощью вспомогательной программы-вайпера перезагрузку или выключение компьютера после  завершения ее работы.

POWER представляет собой одно из следующих значений:

restart – перезагрузка компьютера;

shutdown – выключение компьютера.

При вызове вайпера указывается его соответствующий аргумент командной строки.

-console Отображать на экране консоли статистику процесса шифрования
-nomutex Не создавать и не проверять мьютекс, что позволяет одновременно запускать на компьютере несколько копий программы-вымогателя
-nonetdrive Не шифровать файлы на сетевых дисках
-nodel Не удалять исполняемый файл программы-вымогателя после завершения ее работы

Подсемейства программ-вымогателей Proxima

Как мы уже выяснили, существует достаточно большое количество вариантов программ-вымогателей Proxima:

Группа (подсемейство)

Расширения зашифрованных файлов

Активность

Proxima Proxima январь-февраль 2023
Mikel январь-февраль 2023
BTC-azadi BTC январь-июнь 2023
FAST апрель-май 2023
havoc июнь 2023
alvaro июль 2023
Merlin март 2023
resq100 июнь 2023
Cylance Cylance март-июль 2023
BlackShadow BLackSh, BLackShadow, BlackStore, Black май-июль 2023
RA Group (?) uploaded май-июнь 2023
transferred июнь 2023
Antoni июнь 2023

И этот список явно не полный, некоторые расширения для зашифрованных файлов используются один раз и более не повторяются. Неудивительно, если какая-то часть программ-вымогателей Proxima не попала в поле нашего зрения.

Помимо внешних отличий между программами-вымогателями Proxima есть и некоторые внутренние, например могут несколько различаться режимы шифрования содержимого файлов, использоваться различные способы удаления теневых копий томов, в некоторых программах-вымогателях Proxima отсутствует и не используется вайпер свободного дискового пространства. Даже в рамках одного подсемейства отдельные программы могут различаться от своих «собратьев» и походить больше на  программы другого подсемейства.

При этом большинство программ-вымогателей Proxima используют одну и ту же программу-вайпер, созданную 1 января 2023 года. Эта дата и используется нами в качестве условного «дня рождения» Proxima. В июльском варианте BlackShadow была использована программа-вайпер, скомпилированная уже 1 июня 2023 года.

Ниже мы сгруппировали наиболее похожие между собой программы-вымогатели Proxima.

BTC-azadi (.BTC)

.FAST

.havoc

.alvaro

.Merlin

.resq100

Cylance (.Cylance) BTC-azadi (.BTC) (2023-06-12)

Cylance (.Cylance) (2023-03-24)

BlackShadow (.BLackSh, .BLackShadow, .BlackStore, .Black)

.uploaded

.transferred

.Antoni

Имя зашифрованного файла <FILENAME>.EMAIL=[<EMAIL>]ID=[<ID>].<RANSOMEXT> <FILENAME>.<RANSOMEXT> <FILENAME>.<RANSOMEXT> <FILENAME>.<RANSOMEXT>

BTC-azadi: <FILENAME>.EMAIL=[<EMAIL>]ID=[<ID>].BTC

Имя текстового файла с требованием выкупа How To Restore Files.txt

FILE ENCRYPTED.txt

#FILE ENCRYPTED.txt

#FILEENCRYPTED.txt

Merlin_Recover.txt

resq_Recovery.txt

CYLANCE_README.txt #FILE ENCRYPTED.txt

CYLANCE_README.txt

BLackSh_Help.txt

BLackShadow_Help.txt

BlackStore_Help.txt

Black_Recover.txt

Recovery_Instruction.txt

HOW_TO_RESTORE_FILES.txt

Antoni_Recovery.txt

Имя файла отчета .\MSVCRT.dll

.\RUN.dll

.\FAST.dll

.\MSVCRC.dll

.\Rs.dll

.\MSVCR100.dll .\RUN.dll

.\MSVC150.dll

.\wind.dll

.\Black.dll

.\CC51.dll

.\sys.dll

.\Sysdll.sys

Имя файла программы-вайпера .\Temp3.tmp

.\L11.tmp

%CommonAppData%\LPW4.tmp %CommonAppData%\LPW5.tmp

%CommonAppData%\reg.sys

%CommonAppData%\Brlg.sys

%CommonAppData%\Diag.exe

%CommonAppData%\temper.tmp

%CommonAppData%\systems.init

Имя задачи планировщика Windows Update BETA
Мьютекс Global\<RANSOMEXT>Mutex
Параметры командной строки -path <PATH>

-ratio <RATIO>

-nomutex

-nonetdrive

-selfdel

-path <PATH>

-mode full | fast

-ratio <RATIO>

-power restart | shutdown

-nomutex

-nonetdrive

-selfdel

-path <PATH>

-mode full | fast | split

-skip <SKIP>

-power restart | shutdown

-console

-nomutex

-nonetdrive

-selfdel

-path <PATH>

-mode full | fast | split | custom

-priority off

-skip <SKIP>

-power restart | shutdown

-console

-nomutex

-nonetdrive

-nodel

Способ удаления теневых копий томов vssadmin.exe WQL WQL

(в программе-вымогателе .Black для удаления теневых копий дополнительно используются vssadmin.exe и wmic.exe)

Размер метаданных зашифрованных файлов 48 52 156

168

(включая 100-байтные данные с зашифрованным сессионным закрытым ключом)

64
Размер блока шифрования 128 KБ 256 КБ 1 МБ
Константы ChaCha20/8 Стандартные «hardcore blowjob»

BTC-azadi: стандартные

  • RANSOMEXT – расширение зашифрованных файлов (BTC, FAST, havoc, alvaro, Merlin, resq100, Cylance, BLackSh, BLackShadow, BlackStore, Black, uploaded, transferred, Antony);
  • EMAIL – адрес основной электронной почты атакующих;
  • ID – идентификатор атакующих (первые 8 байт открытого ключа атакующих в шестнадцатеричном представлении);
  • FILENAME – оригинальное имя файла;
  • PATH – путь для шифрования файлов;
  • RATIO – интервал в 128-килобайтных блоках для режима шифрования блоками;
  • SKIP – интервал для режима шифрования блоками (split).

Cylance

Пример содержимого CYLANCE_README.txt

Рис. 11. Пример содержимого CYLANCE_README.txt

Подсемейство Cylance несколько выделяется среди других подсемейств Proxima. Авторы Cylance позаимствовали несколько идей у программы-вымогателя BlackMatter. Так, алгоритм получения идентификатора жертвы U-ID в Cylance практически идентичен BlackMatter. Аналогично BlackMatter программы Cylance отправляют злоумышленникам информацию о скомпрометированном хосте и результаты шифрования в виде HTTP-запросов POST. Указанная информация направляется соответственно по следующим ссылкам:

  • http://139.99.233.175/r1.php
  • http://139.99.233.175/r2.php

Содержащийся в программах-вымогателях Cylance открытый ключ и соответствующий ему закрытый ключ, находящийся у злоумышленников, используются в качестве мастер-ключей. Для шифрования файлов на хосте программа-вымогатель генерирует пару сессионных ключей Curve25519. Сессионный открытый ключ используется так же, как описано в разделе, посвященном шифрованию файлов в BlackShadow, сессионный закрытый ключ шифруется с помощью еще одной дополнительно сгенерированной пары ключей Curve25519 и открытого мастер-ключа. Таким образом, для расшифровки файлов на компьютере необходим сессионный закрытый ключ. Данные с зашифрованным сессионным закрытым ключом размером 100 байт в составе метаданных дописываются в конец каждого зашифрованного файла, а также в кодировке Base64 в значение Key (рис. 11) текстовых файлов с требованием выкупа «CYLANCE_README.txt«. Для расшифровки сессионного закрытого ключа из этих данных потребуется закрытый мастер-ключ атакующих.

Как видно из таблицы, сборка программы-вымогателя Cylance от 2023-03-24 отличается от других программ подсемейства. Для нее существует версия для Linux, разработанная на основе опубликованных исходных кодов Babuk для ESXi. Так же, как и в Windows-версии, для шифрования файлов используется алгоритм шифрования ChaCha20/8 с нестандартными константами «hardcore blowjob«, идентичны у этих версий и форматы метаданных зашифрованных файлов. Для сравнения: в оригинальном Babuk для ESXi для шифрования содержимого файлов используется другой, менее распространенный алгоритм потокового шифрования – Sosemanuk.

Заключение

Исследуя семейство BlackShadow, мы увидели много схожего с атаками, в которых используются программы-вымогатели LokiLocker / BlackBit, Dharma и другие подобные. При этом атакующие не преследуют политических мотивов, им все равно, в какой стране находится их будущая жертва, они просто получают тем или иным способом начальный доступ к ее инфраструктуре. Злоумышленники преследуют исключительно цель небольшой, но стабильной наживы. По нашим наблюдениям, российские компании среднего и малого бизнеса чаще других становятся жертвами таких атак.

Можно делать предположения, кто стоит за этими атаками. Но мы считаем, что гораздо важнее задумываться о защите своей ИТ-инфраструктуры. В атаках BlackShadow не используются изощренные и инновационные методы, сами атакующие не демонстрируют высокие компетенции, но при этом их атаки часто достигают результата. Перефразируя цитату Льва Николаевича Толстого, успешные компании, заботящиеся о своей информационной безопасности, похожи друг на друга, каждая пренебрегающая мерами безопасности компания несчастлива по-своему.

Рекомендации

  1. Регулярно осуществлять установку критических обновлений операционной системы и используемых программных продуктов.
  2. Настроить стойкие парольные политики для локальных и доменных учетных записей. Убедиться в использовании различных паролей для локальных администраторов на всех хостах инфраструктуры.
  3. При разграничении прав доступа руководствоваться принципом минимально необходимых привилегий в системе, уделяя особое внимание сервисным учетным записям, а также учетным записям, используемым для выполнения автоматизированных задач и удаленного доступа.
  4. Запретить прямой доступ по протоколу RDP к рабочим станциям и серверам из-за пределов внутренней сети.
  5. Обеспечить надежную защиту средств удаленного доступа в ИТ-инфраструктуру, в том числе с помощью мультифакторной аутентификации.
  6. Ограничить возможность использования личных устройств сотрудников для доступа в корпоративную сеть, в том числе через VPN.
  7. Обеспечить глубину хранения журналов событий операционной системы и средств защиты информации не менее 3 месяцев.
  8. Настроить сбор Windows событий:
    • успешных и неуспешных попыток входа;
    • включение/отключение учетных записей, их блокировка;
    • создание локальных и доменных учетных записей;
    • добавление пользователей в группы, особенно предоставляющие повышенные привилегии;
    • создание служб, процессов и задач в планировщике;
    • изменение доменных и локальных политик безопасности;
    • выполнение команд, при помощи различных командных интерпретаторов;
    • критические срабатывания встроенного защитника Windows (Windows Defender);
    • доступа к объектам общей сетевой папки;
    • очистки журналов событий.
  9. Реализовать централизованный сбор событий в Windows-инфраструктуре и их передачу в систему сбора данных (например, стек ELK, SIEM).
  10. Использовать для защиты конечных устройств решение F.A.C.C.T. Managed Extended Detection and Response (MXDR).
  11. Для контроля уровня информационной безопасности инфраструктуры организации использовать решение F.A.C.C.T. Attack Surface Management (ASM).

Реагирование на инциденты от F.A.C.C.T.

Если ваша компания подверглась кибератаке программ-вымогателей, важно как можно скорее обратиться к экспертам по реагированию на инциденты

Матрица тактик, техник и процедур (TTPs) BlackShadow на основе MITRE ATT&CK®

Тактика

Техника

Описание

TA0001

Initial Access

T1133

External Remote Services

Для получения доступа к инфраструктуре атакующие используют службу удаленных рабочих столов Windows (RDP)
T1078

Valid Accounts

Для получения доступа к инфраструктуре атакующие используют скомпрометированные учетные записи легитимных пользователей
TA0002

Execution

T1106

Native API

Программа-вымогатель для выполнения различных действий использует функции Native API
T1053.005

Scheduled

Task/Job: Scheduled Task

Программа-вымогатель для запуска своего исполняемого файла при каждом старте системы создает задачу планировщика «Windows Update BETA«:

SCHTASKS.exe /Create /RU «NT AUTHORITY\SYSTEM» /sc onstart /TN «Windows Update BETA» /TR «‘<RANSOM_PATH>’ <RANSOM_ARGS>» /F

RANSOM_PATH – путь к исполняемому файлу программы-вымогателя;

RANSOM_ARGS – аргументы командной строки, указанные при запуске программы-вымогателя

T1059.001

Command and Scripting Interpreter: PowerShell

Поздние варианты программы-вымогателя BlackShadow используют команды PowerShell для удаления каталогов корзины, отключения/удаления Windows Defender
T1059.003

Command and Scripting Interpreter: Windows Command Shell

Для запуска загруженных утилит и сбора сведений о системе атакующие используют Windows Command Shell.

 

Программа-вымогатель использует cmd.exe для выполнения различных команд, например, для поздних вариантов BlackShadow:

FOR / F «delims=» %I IN (‘WEVTUTIL EL’) DO (WEVTUTIL CL «%I»)

vssadmin.exe delete shadows /all /quiet&&wbadmin delete catalog -quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE

T1047

Windows Management Instrumentation

Поздние варианты программа-вымогатель BlackShadow используют wmic для удаления теневых копий томов:

wmic SHADOWCOPY DELETE

T1569.002

System Services: Service Execution

Для выполнения команд на отдельных хостах инфраструктуры атакующие используют легитимную утилиту PsExec, которая в процессе функционирования создает временную системную службу
TA0003

Persistence

T1078

Valid Accounts

Для сохранения доступа к инфраструктуре атакующие используют учетные данные пользователей, скомпрометированных в ходе атаки
T1136.002

Create Account: Domain Account

Для сохранения доступа к инфраструктуре атакующие создают доменную учетную запись и добавляют ее в группы пользователей с повышенными привилегиями в системе
T1053.005

Scheduled

Task/Job: Scheduled Task

Программа-вымогатель для запуска своего исполняемого файла при каждом старте системы создает задачу планировщика «Windows Update BETA«
TA0004

Privilege Escalation

T1078.002

Valid Accounts: Domain Accounts

Для повышения привилегий атакующие используют скомпрометированные в ходе атаки легитимные учетные записи с повышенными привилегиями
T1546.008

Event Triggered Execution: Accessibility Features

Атакующие модифицировали параметр реестра debugger Windows Image File Execution Options для программы специальных возможностей sethc.exe с целью получения доступа к командной оболочке Windows c правами системы
T1546.012

Event Triggered Execution: Image File Execution Options Injection

T1053.005

Scheduled

Task/Job: Scheduled Task

С помощью задачи планировщика «Windows Update BETA«, созданной программой-вымогателем, ее копия будет запускаться в контексте системной учетной записи
T1134

Access Token Manipulation

Программа-вымогатель использует функцию Windows API AdjustTokenPrivileges для разрешения следующих привилегий:

SeDebugPrivilege

SeRestorePrivilege

SeBackupPrivilege

SeTakeOwnershipPrivilege

SeAuditPrivilege

SeSecurityPrivilege

SeIncreaseBasePriorityPrivilege

TA0005

Defense Evasion

T1036.005

Masquerading: Match Legitimate Name or Location

Для маскировки программы-вымогателя под легитимную программу атакующие используют имя файла «Msmpegs.exe«
T1562.001

Impair Defenses: Disable or Modify Tools

Атакующие отключают встроенное антивирусное решение Windows Defender.

 

Поздние варианты программы-вымогателя BlackShadow отключают/удаляют Windows Defender

T1112

Modify Registry

Поздние варианты программы-вымогателя BlackShadow пытаются отключить антивирус Windows Defender путем модификации параметра системного реестра.
T1564.001

Hide Artifacts: Hidden Files and Directories

Для хранения утилит и вспомогательных файлов атакующие используют скрытую системную директорию «%WinDir%\PerfLogs«
T1070.004

Indicator Removal: File Deletion

Атакующие удаляют загруженные утилиты и созданные в ходе атаки вспомогательные файлы.

 

После завершения своей работы программа-вымогатель может удалять свой исполняемый файл:

ping 127.0.0.1 -n 5 > nul & del «<RANSOM_PATH>»

RANSOM_PATH – путь к исполняемому файлу программы-вымогателя.

Также после завершения своей работы самоудаляется вспомогательная программа-вайпер

T1070.006

Indicator Removal: Timestomp

Атакующие подменяли временные метки загруженных файлов для усложнения анализа
T1078

Valid Accounts

Для сокрытия своей деятельности атакующие используют легитимные учетные записи пользователей
T1070.001

Indicator Removal on Host: Clear Windows Event Logs

Атакующие очищают журналы событий Windows (Event Logs).

 

Поздние варианты программы-вымогателя BlackShadow очищают журналы событий Windows (Event Logs):

FOR / F «delims=» %I IN (‘WEVTUTIL EL’) DO (WEVTUTIL CL «%I»)

TA0006

Credential Access

T1003

OS Credential Dumping

Для получения доступа к привилегированным учетным данным пользователей, работающих на отдельных устройствах, атакующие используют легитимную утилиту Mimikatz
T1110

Brute Force

Для получения аутентификационных данных атакующие используют метод перебора
T1552

Unsecured Credentials

Атакующие используют для извлечения паролей утилиты NirSoft, также

изучают содержимое пользовательских директорий при помощи утилиты Everything с целью поиска аутентификационных данных в текстовых файлах

T1555.003

Credentials from Password Stores: Credentials from Web Browsers

Для обогащения набора учетных данных атакующие используют утилиты NirSoft для извлечения паролей, сохраненных в веб-браузерах
T1555.004

Credentials from Password Stores: Windows Credential Manager

Для обогащения набора учетных данных атакующие используют Mimikatz и утилиты NirSoft для извлечения паролей из Windows Credential Manager
TA0007

Discovery

T1018

Remote System Discovery

Для разведки сетевой инфраструктуры жертвы атакующие используют сетевые сканеры Advanced Port Scanner, SoftPerfect Network Scanner
T1046

Network Service Scanning

Для сканирования открытых портов в сети атакующие используют сетевые сканеры Advanced Port Scanner, SoftPerfect Network Scanner
T1069

Permission Groups Discovery

Для изучения возможных векторов повышения привилегий атакующие изучают доступные группы пользователей, а также их уровень привилегий в системе
T1135

Network Share Discovery

Атакующие используют консольную утилиту NS для сканирования общих ресурсов сети
T1083

File and Directory Discovery

Для изучения содержимого пользовательских каталогов атакующие используют утилиту Everything

 

Программа-вымогатель перечисляет каталоги и файлы для шифрования, при перечислении программа использует «белые» списки пропускаемых имен файлов/каталогов, а также файловых расширений

TA0008

Lateral Movement

T1021.001

Remote Services: Remote Desktop Protocol

Атакующие использовали службу удаленных рабочих столов Windows (RDP) для дальнейшего продвижения по сети
T1570

Lateral Tool Transfer

При продвижении внутри сети жертвы атакующие осуществляют копирование на хосты необходимого набора инструментов
TA0011

Command and Control

T1090.001

Proxy: Internal Proxy

Атакующие настраивают перенаправление сетевых портов на маршрутизаторах для доступа к инфраструктуре жертвы из внешней сети
T1105

Ingress Tool Transfer

После получения доступа к инфраструктуре атакующие копируют на скомпрометированные хосты необходимый для развития атаки инструментарий
TA0040

Impact

T1486

Data Encrypted for Impact

Атакующие на финальном этапе атаки развертывают и запускают в инфраструктуре жертвы программу-вымогатель.

Программа-вымогатель осуществляет шифрование файлов на фиксированных, съемных и сетевых дисках хоста

T1561.001

Disk Wipe: Disk Content Wipe

Программа-вымогатель использует вспомогательную программу-вайпер для очистки свободного дискового пространства
T1531

Account Access Removal

Для затруднения восстановления инфраструктуры жертвы атакующие производят смену паролей пользователей и отключают часть учетных записей пользователей
T1489

Service Stop

Поздние варианты программы-вымогателя BlackShadow с помощью команды PowerShell останавливают службу Windows Defender WinDefend
T1490

Inhibit System Recovery

Программа-вымогатель удаляет теневые копии томов (Windows Volume Shadow Copies) с помощью WQL (WMI Query Language) и/или vssadmin.exe, wmic.exe.

Поздние варианты программы-вымогателя BlackShadow также удаляют резервные копии состояния системы

T1529

System Shutdown/Reboot

Программа-вымогатель может завершать работу компьютера или осуществлять перезагрузку  после окончания шифрования файлов

Контактная информация атакующих

BlackShadow

  • Black.Shadow2000@onionmail.org
  • Black.Shadow2000@cyberfear.com
  • Black.Store2000@onionmail.org
  • Black.Store2000@cyberfear.com
  • Black.Berserk@onionmail.org
  • Black.Berserk@skiff.com

Proxima

  • mikel@onionmail.com
  • mikel@cyberfear.com
  • jason@onionmail.org
  • jason@cyberfear.com

BTC-azadi

  • azadi33@smime.ninja
  • azadi33@keemail.me
  • azadibtc1@elizamail.site
  • azadi3@keemail.me
  • antistrees2000@keemail.me
  • jackdecrypt@smime.ninja
  • azadinew@tuta.io
  • azadinew@outlook.es

.FAST

  • fastdec@tutanota.com
  • azadi3@outlookpro.net

.havoc

  • aesdecrypt@gmail.com
  • bnbrans@outlook.com

.alvaro
.harward

  • alvarodecrypt@gmail.com
  • alvarodecrypt@outlook.com

.Merlin

  • Session messenger ID: 05752759728f65ca92b3d98fc72500cdb7c5b11eb7b17f7d8afc6b8ecdcbdedf6d
  • Merlin@outlookpro.net
  • Merlin@cyberfear.com
  • Merlin@onionmail.org

.resq100

  • resq100@onionmail.org
  • resq100@cyberfear.com

Cylance

  • Crypter@firemail.de
  • Helper@firemail.de
  • DecFile@onionmail.org
  • DecFile@tutanota.com
  • maliaver@msgsafe.io
  • Ditavps@firemail.de
  • mtzh0@msgden.com
  • j9864@msgden.com
  • netekan@keemail.me
  • laminan@keemail.me
  • lookalive@onionmail.org
  • bloc.boy@yandex.com
  • D4nte@onionmail.org
  • Backup@cyberfear.com

Cylance (Linux)

  • bestway4u@mailfence.com
  • bestway4u@onionmail.com

.uploaded

  • Support.team@onionmail.org
  • Backup.team@cyberfear.com

.Antoni

  • Antonia@onionmail.org
  • Antoni@cyberfear.com

Индикаторы компрометации

SHA-256
arrow_drop_down

BlackShadow

2c1137a2d79cca7222231093336b410f450c0a7321b2138adfa4d847e6631fa9

68683939af091e87f25dd590621cfa5af81298157b79dd84e447cd5821e25614

a6dee670cff835d8cd8fab4b7c46ae63dd6c7b82c8a42b217a69ca89a12ff274

332e46fac4c8819690582e54e1e214773afe36c5ce8af60033bdbc6560411545

ced3b9720f0c144139172ad22db1e1d2c883bac2304ea6855ac2d3c454aeef96

6b40f8ab9d7a269a01c533185c8de1e1ba7e2fbac46dc081fe83793aa3e998b7

edcccd772c68c75f56becea7f54fb7ee677863b6beaca956c52ee20ec23b472d

e53fb52a65763975410bd97398f233951d1b3fceabbf7b6c0ea08043a0ae863b

 

BlackShadow (decryptor)

98dc996a78ff3e8f7045590f1b4986990dee23b7b4909d73322e7ae15ababa4a

219bd57602fa133b4639b260576032befb08c42faf679d266c29da17e243f384

 

BTC-azadi

09c5ff735d3d7b8c47b4df7de35e1c72b530b2c2566628bc29aaa54feb4d89f4

de242b64cff47574e80062378a52d3977f204ebf9488546d90b18b0b0e728047

25cbd9f549a1370f0409d0c0d4b6917b37e8c04ffec40e0fd2bdf3c31a704157

43c9c228baf00bc4614fdeb578eb84ad2232cef6c2820046b0b9fec502be573f

25cbd9f549a1370f0409d0c0d4b6917b37e8c04ffec40e0fd2bdf3c31a704157

262e8c0f90f38a6f4d3f4566c38a9a9a8c14acfbe6468b4a2c6c6453cd0dca57

7c7c7d553e5e2bc8f2175fb9bc829164f8c16f0b655db1cb4fd796e7620eb612

23b36c3ad71d3d917a1f8810b1abbd2f5c65cc403151a3cf574ea758e31e261a

6c6057be93dbd039c1a27542133a149e5728691f84e765ae5833c8b13372043c

 

.FAST

f0424f67134d4761a836bd18507de8a758b5b7204282cf14ad0be04e91f28f32

 

.havoc

9fb8f797f53dceb4731688f8688eccbe7d137665d7f2542070e2b2cf7371a6ce

e88a4529cacf2b8c09f010f430a30120b6a1b0426314b312ef28bd5d1e80e7f2

 

.alvaro

af424cb9cdcf34542b8a8f3ab194017ef64d23a83effd1e32bf697ce496ebfbf

c75726f7d958662dce90b6b643f6f437e2041dddb0787f9d4ee67ef7f9f42f9b

 

.harward

ad328952c84a602fff1affae679f1a5edcd9b481e752c9963fdb23c2ee6a5d68

224fc4b7f788f7aacbbf83d78fa6ba3dd66a03af92c74a680af2cb426a9cf97f

 

.Merlin

03097f75904007de33f69ec77e02146fe2a0b3d3b2a923640677bb1f46815b07

 

.resq100

f1bb5ce204bc9e9fd12c3cb8c376e36e9ab47528c7c1ca865b38b8bd02314fc9

 

Cylance

7a5e813ec451cde49346d7e18aca31065846cafe52d88d08918a297196a6a49f

98edf440cdce597e6afedd836fa12ffe8b7dbdf2cb39e9458958c036d1eb037a

123ee1e05950d3d925e6a013b910733c746e24e57094326e9128f3e30f4287d4

6df2d30ed270af884916989cd72e03fa59e7d991854586c9657a57fefce66f9e

2747f83b889f7f6d9aab92742ce20eade3892dff6f6b6112d1ab375e64dc2fb9

ec8952dc14bac73174cef02a489539e244b378b7de76c771126a8ba7ce532efd

 

Cylance (Linux)

d1ba6260e2c6bf82be1d6815e19a1128aa0880f162a0691f667061c8fe8f1b2c

 

Cylance (decryptor)

c0b6d182a3e021d9b89f09b4fe294f9fb0cf4d27451409fec5fae055c28150bc

 

.uploaded

0fa01796d96c8439f6ecc15ea57adb988b7bfdfcc1bf467b0c14729d86aa728f

 

.transferred (decryptor)

8d1df4ad2f67560f32c3550ff11ae14e14be72860e61b16aa8dd45749b16c38c

 

Вайпер свободного дискового пространства

a6c41f368f42a7c57c307a48ce2440a60a744226b6414fadb6517a80a5d160a2

8e3ff1907d973d91167c2d74ac8414496d7f430687eef52e3201721e01513761

Сетевые индикаторы
arrow_drop_down

Cylance

139.99.233.175