В недавнем обзоре «Очень грязные дела» мы подняли тему кибербанд, атакующих российские компании с использованием программ-вымогателей, и рассказали о некоторых из них. Эти злоумышленники всячески пытаются откреститься от своей политической направленности, оправдывая свои атаки исключительно финансовой мотивацией. Но это совершенно не так.
На этот раз мы хотим рассказать о наиболее активной в последнее время кибербанде MorLock. С результатами ее деятельности мы впервые столкнулись в самом начале 2024 года, и с тех пор жертвами MorLock стало уже не менее 9 российских компаний. В основном это представители среднего и крупного бизнеса.
MorLock, как и многие другие, о которых мы рассказывали в нашем вышеупомянутом обзоре, атакуют российские компании с использованием программ-вымогателей LockBit 3 (Black) и Babuk. В текущих условиях существует коллаборация кибербанд, они используют схожие тактики, техники и процедуры (TTPs), а также арсенал инструментов. Все это создает определенные «помехи», мешающие идентифицировать атакующих, однако все же есть возможности выделить уникальный почерк атакующих, который и позволяет их атрибутировать к той или иной группе.
В случае MorLock предположения о том, что за атакой стоит именно эта группа, появляются с самых первых моментов расследования инцидента. В ходе дальнейшего расследования предположения лишь только подтверждаются, а концу сомнений в корректности атрибуции уже не остается.
Кибербанда MorLock в отличие от Shadow никак себя не позиционирует, реально оставаясь в тени. В качестве контактов для жертвы в небольшой записке с требованием выкупа злоумышленники указывают только идентификатор для мессенджера Session (рис. 1).
Одна из первых атак MorLock спровоцировала в конце января «разборки» в русскоязычном форуме XSS.is в связи с атакой на российскую компанию с использованием программы-вымогателя LockBit 3 (Black). Частично об этом рассказывается в статье компании Trellix. Незадолго до бана на форуме и спецоперации Cronos спикеру LockBitSupp пришлось даже оправдываться, что «хитрые и умные» атакующие воспользовались слитым билдером, в очередной раз LockBitSupp просто самоустранился, за что получил очередную порцию негодования от других участников форума. Однако в ходе дальнейшего обсуждения администраторы форума заблокировали аккаунты связанные с атаками на Россию участников форума (рис. 2).
Некоторые из этих участников были непосредственно связаны с группой MorLock. Неудивительно, что основная часть забаненных членов форума оказалась из Украины, что, впрочем, никто и не скрывал (рис. 3).
Группа MorLock осуществляет только шифрование данных в ИТ-инфраструктуре жертвы без их предварительной эксфильтрации. За восстановление доступа к данным атакующие требуют немаленький выкуп, размер которого может составлять десятки и сотни миллионов рублей. В процессе переговоров сумма может быть снижена вдвое, но даже при этом размер выкупа совершенно несопоставим по сравнению с другими группами вымогателей, например, персидскими.
В качестве начального вектора атак злоумышленники использовали уязвимости в публичных приложениях (например, Zimbra), а также доступы, приобретенные на таких закрытых торговых площадках, как, например, Russian Market. В последних атаках в качестве первоначального доступа атакующие воспользовались скопрометированными учетными данными партнеров пострадавших компаний.
Ввиду отсутствия эксфильтрации атака MorLock занимает всего несколько дней с момента получения доступа и до начала процесса шифрования данных. Злоумышленники предпочитают использовать в качестве фреймворка постэкпслуатации Sliver, для сетевой разведки – SoftPerfect Network Scanner и PingCastle, часть информации атакующие получали с помощью команд PowerShell.
Во всех случаях, если у жертвы был установлен популярный российский корпоративный антивирус, атакующие, получив доступ к его административной панели, отключали антивирусную защиту и использовали данный продукт для распространения программы-вымогателя в сети жертвы. Также злоумышленники применяли и PsExec для распространения в сети программы-вымогателя и других инструментов.
Некоторые инструменты злоумышленники загружали на хосты непосредственно с официальных сайтов с помощью веб-браузера жертвы. Полный список инструментов MorLock, включая программы-вымогатели:
- LockBit 3 (Black)
- Babuk (ESXi, NAS)
- Sliver
- Facefish
- Godzilla web-shell
- SoftPerfect Network Scanner
- PingCastle
- resocks
- localtonet
- pretender
- AnyDesk
- putty
- XenAllPasswordPro
- nssm
- PsExec
Список индикаторов компрометации MorLock представлен на нашем гитхабе.
Узнайте больше о Threat Intelligence от F.A.C.C.T.
Проактивный анализ киберугроз и предотвращение атак со знанием методов и инструментов атакующих