Тьма наступает: новая группа вымогателей MorLock увеличила интенсивность атак на российский бизнес | Блог F.A.C.C.T.

В недавнем обзоре «Очень грязные дела» мы подняли тему кибербанд, атакующих российские компании с использованием программ-вымогателей, и рассказали о некоторых из них. Эти злоумышленники всячески пытаются откреститься от своей политической направленности, оправдывая свои атаки исключительно финансовой мотивацией. Но это совершенно не так.

На этот раз мы хотим рассказать о наиболее активной в последнее время кибербанде MorLock. С результатами ее деятельности мы впервые столкнулись в самом начале 2024 года, и с тех пор жертвами MorLock стало уже не менее 9 российских компаний. В основном это представители среднего и крупного бизнеса.

MorLock, как и многие другие, о которых мы рассказывали в нашем вышеупомянутом обзоре, атакуют российские компании с использованием программ-вымогателей LockBit 3 (Black) и Babuk. В текущих условиях существует коллаборация кибербанд, они используют схожие тактики, техники и процедуры (TTPs), а также арсенал инструментов. Все это создает определенные «помехи», мешающие идентифицировать атакующих, однако все же есть возможности выделить уникальный почерк атакующих, который и позволяет их атрибутировать к той или иной группе.

В случае MorLock предположения о том, что за атакой стоит именно эта группа, появляются с самых первых моментов расследования инцидента. В ходе дальнейшего расследования предположения лишь только подтверждаются, а концу сомнений в корректности атрибуции уже не остается.

Кибербанда MorLock в отличие от Shadow никак себя не позиционирует, реально оставаясь в тени. В качестве контактов для жертвы в небольшой записке с требованием выкупа злоумышленники указывают только идентификатор для мессенджера Session (рис. 1).

Текст одной и записок с требованием выкупа MorLock

Рис. 1. Текст одной и записок с требованием выкупа MorLock.

Одна из первых атак MorLock спровоцировала в конце января «разборки» в русскоязычном форуме XSS.is в связи с атакой на российскую компанию с использованием программы-вымогателя LockBit 3 (Black). Частично об этом рассказывается в статье компании Trellix. Незадолго до бана на форуме и спецоперации Cronos спикеру LockBitSupp пришлось даже оправдываться, что «хитрые и умные» атакующие воспользовались слитым билдером, в очередной раз LockBitSupp просто самоустранился, за что получил очередную порцию негодования от других участников форума. Однако в ходе дальнейшего обсуждения администраторы форума заблокировали аккаунты связанные с атаками на Россию участников форума (рис. 2).

Сообщение администратора о блокировке аккаунтов на XSS.is

Рис. 2. Сообщение администратора о блокировке аккаунтов на XSS.is.

Некоторые из этих участников были непосредственно связаны с группой MorLock. Неудивительно, что основная часть забаненных членов форума оказалась из Украины, что, впрочем, никто и не скрывал (рис. 3).

Сообщение одного из забаненных участников форума

Рис. 3. Сообщение одного из забаненных участников форума.

Группа MorLock осуществляет только шифрование данных в ИТ-инфраструктуре жертвы без их предварительной эксфильтрации. За восстановление доступа к данным атакующие требуют немаленький выкуп, размер которого может составлять десятки и сотни миллионов рублей. В процессе переговоров сумма может быть снижена вдвое, но даже при этом размер выкупа совершенно несопоставим по сравнению с другими группами вымогателей, например, персидскими.

В качестве начального вектора атак злоумышленники использовали уязвимости в публичных приложениях (например, Zimbra), а также доступы, приобретенные на таких закрытых торговых площадках, как, например, Russian Market. В последних атаках в качестве первоначального доступа атакующие воспользовались скопрометированными учетными данными партнеров пострадавших компаний.

Ввиду отсутствия эксфильтрации атака MorLock занимает всего несколько дней с момента получения доступа и до начала процесса шифрования данных. Злоумышленники предпочитают использовать в качестве фреймворка постэкпслуатации Sliver, для сетевой разведки – SoftPerfect Network Scanner и PingCastle, часть информации атакующие получали с помощью команд PowerShell.

Во всех случаях, если у жертвы был установлен популярный российский корпоративный антивирус, атакующие, получив доступ к его административной панели, отключали антивирусную защиту и использовали данный продукт для распространения программы-вымогателя в сети жертвы. Также злоумышленники применяли и PsExec для распространения в сети программы-вымогателя и других инструментов.

Некоторые инструменты злоумышленники загружали на хосты непосредственно с официальных сайтов с помощью веб-браузера жертвы. Полный список инструментов MorLock, включая программы-вымогатели:

  • LockBit 3 (Black)
  • Babuk (ESXi, NAS)
  • Sliver
  • Facefish
  • Godzilla web-shell
  • SoftPerfect Network Scanner
  • PingCastle
  • resocks
  • localtonet
  • pretender
  • AnyDesk
  • putty
  • XenAllPasswordPro
  • nssm
  • PsExec

Список индикаторов компрометации MorLock представлен на нашем гитхабе.

Узнайте больше о Threat Intelligence от F.A.C.C.T.

Проактивный анализ киберугроз и предотвращение атак со знанием методов и инструментов атакующих