Утекшие в публичный доступ исходные коды и билдеры популярных программ-вымогателей Babuk, Conti и LockBit 3 (Black) позволили многим киберпреступникам с легкостью «переквалифицироваться» в вымогателей, а эти программы-вымогатели стали в их руках грозным оружием против российских компаний. При этом активные группировки уже не вписываются в привычные бизнес-модели вымогателей, такие как, партнерская программа (RaaS, Ransomware-as-a-Service) или «Корпорация вымогателей», как это было у Conti.
Мы довольно подробно рассказывали о деятельности так называемых групп «двойного назначения», преследующим как финансовые, так и политические цели. Наиболее ярким примером является группировка Shadow (Twelve, Comet, DARKSTAR), меняющая свои названия как перчатки.
Меняется и мотив киберпреступников — в связи с напряженной геополитической обстановкой все большую роль в атаках на Россию играют политически мотивированные группы, чьи задачи сводятся не только к получению финансовой выгоды, но и к диверсиям и саботажу.
Для таких политически мотивированных групп уже целесообразно ввести в обиход новый тип, например, кибербанда, что наиболее точно отражает цели и задачи этих групп, пополнение их рядов, а также координацию между самими бандами и государственными органами их стран.
Текущей геополитической обстановкой пользуются и финансово мотивированные группы. Безнаказанность и большое количество потенциальных жертв, беззаботно относящихся к кибербезопасности своего бизнеса, привлекает любителей легкой наживы. Причем многие из атакующих находятся в странах, не являющихся по отношению к России недружественными.
К уже «привычным» и давно использующимся в атаках семействам программ-вымогателей Dharma, Phobos, Sojusz и др. регулярно добавляются все новые и новые семейства программ-вымогателей. Некоторые исчезают практически сразу после своего неожиданного появления. К примеру, малоизвестный шифровальщик kann в декабре 2023 года был использован в нескольких атаках и пропал с радаров. Примечательно, что для пользователей из Российской Федерации в текст файла с требованием выкупа злоумышленники даже добавили просьбу не использовать в переписке с ними почту из домена mail.ru (рис. 1).
Рис. 1. Содержимое текстового файла how_to_decrypt.txt, созданного программой-вымогателем kann
Большая же часть групп вымогателей — малоизвестных или неизвестных совсем — похоже, закрепилась в России надолго, и уходить не собирается. Некоторым из них посвящена настоящая статья. Более подробную техническую информацию о программах-вымогателях и группах вы можете найти на гитхабе F.A.C.C.T., посвященном программам-вымогателям.
Персидские шифровальщики
| Цель атак | Вымогательство финансовых средств с жертв за расшифровку данных |
| Жертвы | Компании из сферы малого и среднего бизнеса |
| Суммы выкупа | 400 тыс. руб. — 10 млн. руб. |
| Тип группы | Закрытая партнерская программа (RaaS) |
| Активность
LokiLocker/BlackBit RCRU64 Proton Proxima HardBit |
с лета 2021 года по н.в.
с марта 2021 года по н.в. с марта 2023 года по н.в. с января 2023 года по н.в. с октября 2022 года по н.в. |
| Получение первоначального доступа | Публично доступные службы удаленного доступа (RDP, VPN) |
| Атакуемые платформы | Windows |
Откроем секрет Полишинеля, персидские программы-вымогатели уже давно орудуют в России, но страдают от них не только в нашей стране, но и по всему миру. И интенсивность атак на российские компании с использованием этих программ-вымогателей значительно выросла за последние годы. Речь пойдет о таких «популярных» семействах, как LokiLocker/BlackBit, RCRU64, Proton, Proxima и HardBit. Есть и другие менее известные семейства персидских шифровальщиков, например, BlackDream/BlackLegion, но они менее распространены по сравнению с указанными выше.
В качестве вектора атаки партнеры этих группы, в основном, используют уязвимые публично доступные службы удаленного доступа, и прежде всего, это RDP (Remote Desktop Protocol). Многолетняя охота на «дедики» (Dedicated Server) не прошла для хакеров даром. Не секрет, что в прежние времена «брут дедиков» частенько осуществлялся с иранских адресов. Хакеры явно поднаторели в этом, да и, собственно, зачем менять работающий подход, тем более, что жертв, имеющих слабозащищенный публично доступный RDP или VPN, и сейчас предостаточно. Как показывает практика, после своего появления в публичном доступе RDP через 15 минут или еще менее начинает подвергаться активной «бомбардировке» извне.
Атаки этих групп сравнительно скоротечны, они не ставят перед собой целью эксфильтрацию данных жертвы, атакующие осуществляют только шифрование данных жертвы для получения быстрой и стабильной выгоды. Преимущественно целевыми платформами атак являются Windows-системы.
Атаки протекают по примерно похожему сценарию. После получения доступа к инфраструктуре жертвы, атакующие пытаются получить привилегированные учетные данные. Для этого атакующие используют популярную утилиту mimikatz. Также атакующими активно осуществляется подбор паролей, например, с помощью AccountRestore и других подобных утилит. Могут быть использованы соответствующие утилиты NirSoft, а для поиска паролей в текстовых файлах – популярная утилита Everything.
Для разведки сети атакующие применяют сетевые сканеры Advanced Port Scanner, SoftPerfect Network Scanner, а также популярную консольную утилиту NS. Для продвижения по сети партнеры используют RDP и легитимную утилиту PsExec.
Перед загрузкой на хост своих инструментов партнеры отключают на нем Windows Defender и другие средства безопасности. Для нейтрализации средств безопасности атакующие могут использовать такие утилиты, как Defender Control, Process Hacker, KAV Removal Tool и другие подобные.
После размещения программы-вымогателя на хостах жертвы атакующие вручную производят ее запуск.
Часто спутником персидских шифровальщиков становится файловый вирус Neshta: в атаках используются инфицированные этим вирусом, как сами программы-вымогатели, так и инструменты атакующих.
LokiLocker/BlackBit, RCRU64 и Proton
Прошедший год LokiLocker/BlackBit активно работали по России. Об этой группе мы подробно рассказывали в нашем блоге. За последнее время интенсивность атак этой группы заметно снизилось. Программы-вымогатели LokiLocker/BlackBit представляют собой обфусцированные приложения .NET. Спустя месяц после шифрования на компьютере эти вымогатели могут уничтожить все данные на нем. В конце 2023 года мы нашли новый вариант BlackBit – Shuriken (рис. 2), что свидетельствует о том, что группа пока не собирается сворачивать свою деятельность.
Рис. 2. Содержимое текстового файла с требованием выкупа за расшифровку данных BlackBit (READ-ME-SHURKEWIN.txt)
Группа RCRU64 активна с марта 2021 года, география атак самая разнообразная, много жертв в России и странах СНГ. Программы-вымогатели RCRU64 разработаны на языке программирования C++ с использованием криптографической библиотеки Crypto++, используют весьма сложную и запутанную реализацию шифрования данных на основе AES-256 и RSA-2048.
Рис. 3. Содержимое текстового файла с требованием выкупа за расшифровку данных RCRU64 (Restore_Your_Files.txt)
Программы-вымогатели Proton – пока малоизвестное семейство, хотя первые образцы были выявлены еще в марте 2023 года. Сейчас же фиксируется все больше атак с использованием программ-вымогателей Proton (рис. 4).
Рис. 4. Вид рабочего стола после шифрования компьютера с помощью одной из последних модификаций программы-вымогателя Proton с расширением файлов SWIFT
Концептуально, Proton – это реализация на C++ программы-вымогателя LokiLocker/BlackBit. Proton аналогично LokiLocker/BlackBit при запуске проверяет наличие установленной раскладки клавиатуры fa-IR (рис. 5).
Рис. 5. Фрагмент кода проверки установленных раскладок клавиатуры в программе-вымогателе Proton.
Для шифрования данных программы-вымогатели Proton используют алгоритм XChaCha20-Poly1305 и реализацию протокола Диффи-Хеллмана на эллиптических кривых (ECDH) – X25519. В коде программ содержится публичный мастер-ключ X25519.
По нашему мнению, LokiLocker/BlackBit, RCRU64 и Proton тесно взаимосвязаны между собой. Атакующие имеют схожие тактики, техники, процедуры (TTPs, Tactics, Techniques, and Procedures), злоумышленники используют в атаках похожий арсенал инструментов. Сами семейства программ-вымогателей объединены использованием в них авторами нестандартных, а порою и экзотических решений, наличием ошибок в строках и программном коде. Специалисты F.A.C.C.T. выявили и пересечения между партнерами этих RaaS в один период времени.
| Proton | LokiLocker/BlackBit | RCRU64 |
| protonhelper2023@proton.me
Falcon360@cock.li |
rrr3
Trustmebb@keemail.me Falcon360@cock.li |
|
| HarpyRage@onionmail.org
HarpyRage@cyberfear.com Telegram: @HarpyRage |
HarpyRage
HarpyRage@msgsafe.io HarpyRage@cyberfear.com Telegram: @HarpyRage |
|
| decvvv110
decvvv110@msgsafe.io dicrript@tutanota.com |
Decvvv110@gmail.com
dicrript@tutanota.com |
Proxima
Семейство шифровальщиков Proxima объединяет множество программ-вымогателей, которые на первый взгляд кажутся не связанными друг с другом. Сейчас Proxima разрослось до 5 подсемейств: BTC-azadi, Merlin/resq, Cylance, BlackShadow и Lambda/Synapse (рис. 6). Несомненно, все подсемейства имеют в прародителях одни и те же исходные коды программы-вымогателя. Подробно о подсемействе BlackShadow мы рассказывали в нашем блоге.
Рис. 6. Подсемейства Proxima.
Авторы Proxima не ленятся и дальше реализовывать свой творческий креатив, они активно продолжают «плодить» всё новые программы и подсемейства. В России за последнее время были наиболее активны подсемейства BTC-azadi (.ELECTRONIC) и BlackShadow.
Авторы же нового подсемейства Lambda/Synapse пошли намного дальше, решив создать флагманскую программу-вымогатель Proxima. Они явно вдохновлены программой-вымогателем LockBit 3 (Black), билдеры которой утекли в сентябре 2022 года. В сентябре 2023 специалистами F.A.C.C.T. был выявлен первый образец Lambda, а в феврале 2024 года – уже Synapse. Авторы Lambda/Synapse явно нацелены создать конкурента LockBit 3 (Black) (рис. 7), однако пока их программы вместе с богатым функционалом изобилуют ошибками. Но, к сожалению, это ошибки не из разряда тех, что позволили бы расшифровать файлы, зашифрованные программами-вымогателями семейства Proxima.
Для шифрования данных программы-вымогатели Proxima используют сочетание алгоритмов ChaCha20/8 и X25519.
Рис. 7. Конфигурация программы-вымогателя Synapse в формате JSON.
HardBit
О семействе программ-вымогателей HardBit уже подробно писали наши коллеги из Solar. Стоит отметить, что файлы, зашифрованные программами HardBit версиями 2 и 3, могут быть расшифрованы. В настоящее время атакующие уже используют HardBit версии 4 (рис. 8).
Рис. 8. Вид рабочего стола после шифрования HardBit 4.0.
В ранних версиях HardBit в исходном коде можно увидеть характерные ошибки, допущенные разработчиком шифровальщика. Он, возможно, по невнимательности, вместо общепринятых арабских цифр в нескольких местах исходного кода указал привычные ему персидские цифры (рис. 9).
Рис. 9. Фрагменты деобфусцированного кода, содержащего ошибки с персидскими цифрами.
HsHarada
| Цель атак | Вымогательство финансовых средств с жертв за расшифровку данных |
| Жертвы | Компании малого и среднего бизнеса, реже крупный бизнес |
| Суммы выкупа | 500 тыс. руб. – 180 млн. руб. |
| Тип группы | Закрытая партнерская программа (RaaS, Ransomware-as-a-Service) |
| Активность | с февраля 2023 года по н.в. |
| Получение первоначального доступа | – Публично доступные службы удаленного доступа (RDP, VPN);
– уязвимости в публичных приложениях (Microsoft Exchange) |
| Атакуемые платформы | Windows |
HsHarada – сравнительно новая группа вымогателей и до последнего времени была своего рода шарадой для ИБ-исследователей. В апреле 2023 года появилась информация о семействе программ-вымогателей HsHarada. Для названия семейства был использован аккаунт электронной почты, который был указан в требовании о выкупе для контакта жертвы со злоумышленниками. Позднее компания Trend Micro опубликовала информацию о программах-вымогателях Rapture, однако связи Rapture с HsHarada исследователи Trend Micro не установили. Атаки с использованием HsHarada осуществляются, как и в случае с персидскими шифровальщиками, по всему миру. Первая информация об атаке HsHarada появилась в феврале 2023 года на китайском портале https://bbs.360.cn, первая известная нам атака на российскую компанию была совершена осенью 2023 года. В январе 2024 года появилась новая модификация HsHarada, а уже в феврале была атакована крупная российская компания.
В записке новой модификации злоумышленники стали указывать сумму выкупа за расшифровку данных, не стесняясь в размерах выкупа (рис. 10). Явно, что аппетиты злоумышленников растут. Однако конечная сумма выкупа за декриптор оказывается на порядок ниже первоначально заявленной. Текст одной из новых записок о выкупе был позаимствован у семейства GoodDay/ARCrypter.
Рис. 10. Содержимое текстового файла с требованием выкупа.
Атака HsHarada протекает практически молниеносно: между получением первоначального доступа к ИТ-инфраструктуре жертвы и стартом процесса шифрования проходит всего несколько часов. Ранее злоумышленники в качестве первоначального доступа использовали скомпрометированные публично доступные терминальные серверы. Сейчас основным вектором атаки HsHarada являются уязвимые почтовые серверы Microsoft Exchange. Атакующие активно используют цепочку уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). Удивительно, что по прошествии почти 3 лет после обнаружения уязвимостей многие компании так и не обновили свои почтовые серверы. В результате эксплуатации уязвимости на почтовом сервере Microsoft Exchange устанавливается веб-шелл семейства Godzilla (рис. 11). Для создания веб-шеллов Godzilla злоумышленники пользуются утилитой ByPassGodzilla.
Рис. 11. Деобфусцированный ASP.NET веб-шелл Godzilla.
Далее злоумышленники запускают на сервере обфусцированный PowerShell-скрипт с загрузчиком популярного фреймворка постэксплуатации Cobalt Strike (рис. 12).
Рис. 12. Вложенный PowerShell-скрипт, запускающий загрузчик Cobalt Strike.
Фреймворк Cobalt Strike используется атакующими для продвижения по сети жертвы и развертывания программы-вымогателя. Загружаемые бэкдоры Cobalt Strike beacon содержат распространенное значение Watermark – 391144938. Для получения привилегированных учетных данных злоумышленники применяют встроенную утилиту mimikatz, для разведки сети атакующие пользуется средствами WMI и сетевыми сканерами. Для продвижения по сети помимо Cobalt Strike также активно используется и легитимная техника – RDP.
До этапа развертывания атакующие отключают на хостах антивирусное программное обеспечение, и в частности, встроенный антивирус Windows Defender. Для этого атакующие, например, использовали встроенные средства Cobalt Strike, что приводило к выполнению на хосте следующей команды с использованием wmic:
wmic /FAILFAST:ON /node:<HOSTNAME> process call create 'c:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring 1'
где HOSTNAME – имя хоста.
При этом стоит отметить, что на момент атаки лишь немногие антивирусные вендоры детектировали программу-вымогатель HsHarada.
Некоторые партнеры используют в атаках скомпилированную утилиту iox для перенаправления портов и прокси. В одной из атак злоумышленники маскировали указанную утилиту под именем x86.log.
Распространение программы-вымогателя по ИТ-инфраструктуре и ее запуск производился атакующими вручную.
Программа-вымогатель HsHarada представляет собой обфусцированное консольное приложение .NET. Программа при запуске с аргументом «all» останавливает на хосте запущенные службы (рис. 14) и виртуальные машины, удаляет резервные копии и теневые копии томов. Далее программа многопоточно шифрует файлы на логических дисках и по завершении удаляет свой исполняемый файл (рис. 13).
Рис. 13. Фрагмент реплики кода программы-вымогателя HsHarada.
Шифрование содержимого файлов осуществляется с использованием алгоритма AES-256 CFB, сгенерированный для каждого файла ключ AES шифруется с помощью публичного ключа RSA-2048, содержащегося коде программы. Разработчики HsHarada – явно не носители английского языка, так как строки на английском языке в коде программы содержат большое количество ошибок и опечаток (рис. 14)
Рис. 14. Код функции завершения системных служб.
С репликой исходного кода декриптора новой модификации HsHarada можно ознакомиться на нашем гитхабе. Для создания декриптора с помощью указанных исходных кодов необходимо иметь закрытый ключ RSA-2048, который находится у атакующих, и знать правильные параметры шифрования.
Muliaka
| Цель атак | Вымогательство финансовых средств с жертв за расшифровку данных |
| Жертвы | Компании среднего и крупного бизнеса |
| Суммы выкупа | Нет данных |
| Тип группы | Кибербанда |
| Активность | с декабря 2023 года по н.в. |
| Получение первоначального доступа | – Публично доступные службы удаленного доступа (RDP, VPN);
– уязвимости в публичных приложениях |
| Атакуемые платформы | Windows, ESXi |
В январе 2024 года российская компания была атакована группой злоумышленников, которую мы назвали Muliaka. Для названия мы использовали часть имени аккаунта электронной почты злоумышленников kilamulia@proton[.]me и южнорусское слово «муляка», которое обозначает грязь и муть в воде. Такое название как нельзя кстати подходит для этих киберпреступников.
В результате атаки у компании были зашифрованы Windows-системы и виртуальная инфраструктура VMware ESXi. Специалисты F.A.C.C.T. подключились к расследованию атаки уже на этапе восстановления сотрудниками компании своей ИТ-инфраструктуры. В связи с этим отсутствует полностью контекст атаки и соответственно не удается точно установить начальный вектор атаки. Атакующие использовали VPN жертвы, но являлся ли он начальным доступом, на данный момент не установлено. Нельзя исключать использование в качестве начального вектора уязвимостей в публично доступных приложениях, таких как, например, Bitrix, и фишинг.
Действия атакующих можно характеризовать как достаточно квалифицированные, после себя они оставляют минимальное количество «следов». С момента получения доступа к ИТ инфраструктуре до начала шифрования данных заняло у атакующих около 2 недель.
Для удаленного доступа к ИТ-инфраструктуре жертвы атакующие использовали VPN-сервис компании, а для перемещения по узлам инфраструктуры службу удаленного управления WinRM (Windows Remote Management), использующую стандартный протокол веб-служб управления WS-Man.
Для распространения программы-вымогателя в сети жертвы и для ее запуска на хостах Windows атакующие воспользовались популярным корпоративным антивирусным программным обеспечением, установленным в ИТ-инфраструктуре компании. Для удаленного запуска программы-вымогателя атакующие создали инсталляционный пакет (рис. 15) и соответствующую задачу. Надо отметить, что продвинутые атакующие при получении доступа к панели управления данного антивирусного продукта все чаще предпочитают использовать его для скрытного и эффективного продвижения по сети, нежели чем такие более «шумные» техники, как например, PsExec, SMBExec, WMIExec или создание групповой политики Active Directory (GPO).
Рис. 15. Содержимое инсталляционного пакета с программой-вымогателем.
Впоследствии с другими образцами программ-вымогателей мы нашли на вспомогательный PowerShell-скрипт Update.ps1 (рис. 16), который используется злоумышленниками для запуска на хостах перед их шифрованием. Этот скрипт предназначен для остановки и запрета служб баз данных и резервного копирования, удаления точек восстановления и теневых копий томов, отмены текущей операции резервного копирования / восстановления, принудительной остановки запущенных виртуальных машин. Также этот скрипт отключает сетевые адаптеры на хосте, и тем самым, отключает хост от сети. Напомним, такую технику ранее использовала, например, группа OldGremlin.
Рис. 16. Отформатированный скрипт Update.ps1.
Для шифрования ESXi атакующие включали на гипервизорах SSH (Secure Shell), размещали на них программу-вымогатель и вспомогательный Shell-скрипт. С помощью SSH злоумышленники запускали на гипервизоре Shell-скрипт с указанием времени старта программы-вымогателя, после чего выключали на гипервизорах SSH, чтобы предотвратить попытку остановки процесса шифрования.
Рис. 17. Фрагмент журнала оболочки ESXi.
Наибольший интерес вызвали используемые злоумышленниками программы-вымогатели. Программа-вымогатель для Windows разработана основе утекших в публичный доступ исходных кодов программы-вымогателя Conti 3 и представляет собой одну из наиболее интересных модернизаций среди других подобных на основе Conti 3. Выявленные образцы несколько различаются между собой. Так, модификация программы-вымогателя, использованная в описываемой атаке, в отличие от Conti перед процессом шифрования файлов осуществляет завершение процессов и остановку системных служб, указанных в списках.
Программа-вымогатель осуществляет многопоточное шифрование файлов на всех логических дисках хоста. В файлах менее 5 мегабайт шифруется начальная часть, файлы более 5 мегабайт шифруются блоками. В последней выявленной модификации Muliaka для файлов виртуальных машин и баз данных предусмотрен отдельный режим. Программа 100 раз повторяет перечисление файлов на дисках, при этом зашифрованные файлы более 20 мегабайт шифруются повторно. Идея шифрования в несколько проходов не нова, одними из первых стали использовать такой подход программы-вымогатели PLAY, в настоящее время и вымогатели Qilin используют шифрование в 3 прохода. Цель многопроходного шифрования очевидна: при первом проходе максимально быстро заблокировать данные жертвы, а при следующих проходах – максимально усложнить возможность расшифровки и восстановления данных без оплаты выкупа.
Вместо стандартного размера ключа RSA-4096, который используется в Conti, в Muliaka в зависимости от модификации используется RSA-1024 или RSA-2048, размер метаданных в зашифрованных файлах при этом остался прежним (534 байт). При втором проходе шифрования в конец файла соответственно добавляется еще один блок метаданных с уже другим зашифрованным ключом ChaCha20/8.
Для обхода средств защиты программа-вымогатель Muliaka для Windows запускается в качестве полезной нагрузки программы-загрузчика, разработанной на языке программирования Rust. Полезная нагрузка содержится в программе-загрузчике в зашифрованном виде и выполняется непосредственно в оперативной памяти. В последних модификациях при запуске необходимо в командной строке указать ключ расшифровки.
Образец программы-вымогателя для ESXi не удалось найти на хостах жертвы, он был удален атакующими. Однако полученной информации было достаточно, чтобы найти другие образцы программ-вымогателей для Windows и ESXi, а также дополнительные модули. Самый ранний образец Muliaka для Windows в соответствии с временными метками PE был скомпилирован 19 декабря 2023 года. Программа-вымогатель для ESXi 2 месяца назад была загружена на портал VirusTotal и до сих пор не детектируется ни одним антивирусным вендором (рис. 18). Примечательно, что практически все найденные образцы были загружены на портал VirusTotal из Украины.
Рис. 18. Скриншот портала VirusTotal с результатами проверки программы-вымогателя для ESXi.
Программа-вымогатель Muliaka для ESXi разработана на языке программирования Rust и представляет собой оригинальную разработку группы. Программа имеет простой функционал (рис. 19), при отсутствии аргументов шифрует файлы в текущем каталоге и его подкаталогах.
Рис. 19. Справка по использованию программы-вымогателя для ESXi.
Шифрование данных осуществляется с помощью потокового алгоритма AES-256 CTR, сгенерированные данные для получения ключа AES шифруются публичным ключом RSA-2048. Программа для ESXi, как и версия для Windows, предполагает шифрование файлов в два прохода. Соответственно в конец зашифрованного файла дописываются 2 блока метаданных, каждый блок метаданных содержит зашифрованные данные для получения ключа AES (256 байт) и 16-байтный маркер блока. Однако шифрования данных при втором проходе не осуществляется.
Обе версии Muliaka, использованные в атаке, добавляют к именам зашифрованных файлов расширение «.lolaa«. В каждом обработанном каталоге программы создают текстовые файлы «readme.txt«, содержащие короткое сообщение с контактными данными злоумышленников в виде 2 адресов электронной почты:
Send an email to nickmilin@skiff.com kilamulia@proton.me
Другие обнаруженные образцы Muliaka используют иные расширения для зашифрованных файлов и контакты злоумышленников.
Кибербанды с LockBit 3
| Цель атак | Вымогательство финансовых средств с жертв за расшифровку данных и не публикацию похищенной информации, саботаж |
| Жертвы | Компании малого, среднего и крупного бизнеса |
| Суммы выкупа | 5–100 миллионов рублей |
| Тип группы | Кибербанды |
| Активность | с февраля 2023 года по н.в. |
| Получение первоначального доступа | – Публично доступные службы удаленного доступа (RDP, VPN);
– уязвимости в публичных приложениях (Microsoft Exchange, 1С-Битрикс); – целевой фишинг |
| Атакуемые платформы | Windows, Linux, ESXi |
Наибольшая опасность для российских компаний в настоящее время исходит от киберпреступников, связанных с соседней недружественной страной. Эти группировки, а точнее сказать, кибербанды политически мотивированы, в их составе есть участники с высокой квалификацией. По сути, под прикрытием и даже с одобрения местных правоохранителей кибербанды занимаются откровенными грабежами в России. Похожая ситуация обстоит и с телефонными мошенниками. В отличие от обычных злоумышленников они рассматривают свою жертву, прежде всего, как врага, и не стесняются в выборе средств.
Эти группировки преимущественно используют для атак программы-вымогатели LockBit 3 (Black) для шифрования Windows-систем и Babuk – для Linux и ESXi.
В настоящее время количество таких групп продолжает расти, между ними происходит обмен опытом и определенно существует коллаборация. Медийным лидером среди данных групп можно с уверенностью назвать Shadow (Twelve, Comet, DARKSTAR). Мы неоднократно сообщали информацию о деятельности данной группировки и посвятим ей отдельный отчет. В настоящей статье мы коснемся некоторых групп из так называемого второго эшелона. Они нацелены на малый и средний бизнес. В качестве вектора атаки злоумышленники могут использовать все возможные варианты, которые могут привести к получению злоумышленниками доступа к ИТ-инфраструктуре жертвы: слабозащищенные публично доступные средства уделенного доступа (RDP, VPN), уязвимости в публичных приложениях (например, Microsoft Exchange и Bitrix) и целевой фишинг.
Mordor
Нам известно, как минимум, о 6 жертвах этой группы начиная с июля 2023 года. Жертвами становились компании малого и среднего бизнеса. Информации о группе немного. Многие жертвы после восстановления нанесенного атакой ущерба воздерживаются от дополнительных трат, в том числе и на расследование инцидента.
Примечательно, что злоумышленники во всех атаках использовали одну и ту же программу LockBit 3 (Black) в зашифрованном варианте (LB3_pass.exe). Для корректного запуска такого варианта LockBit 3 (Black) необходимо указать пароль в командной строке для расшифровки PE-секций программы, зашифрованных с помощью алгоритма VMPC (KSA3).
Злоумышленники используют название жертвы в качестве имени исполняемого файла программы-вымогателя. Расширение зашифрованных файлов – S8fyxRJUX, имена файлов шифруются. Поле конфигурации «note» содержит пустое значение, соответственно текстовый файл с требованием выкупа на хостах не создается (рис. 20), тем самым злоумышленники не оставляют контактов для взаимодействия с ними. Впоследствии они сами могут выйти на контакт с жертвами. Но использование одного и того же образца программы-вымогателя не оставляет сомнений, что основной умысел атакующих – это саботаж.
Анализ используемой группой Mordor программы-вымогателя LockBit 3 показал, что злоумышленники использовали одни и те же подходы в конфигурировании LockBit 3, что и Shadow (Comet, DARKSTAR, Twelve). В «белом списке» пропускаемых при шифровании имен каталогов также добавлены «scripts» и «policies», а в «белом списке» имен файлов указано первоначальное имя исполняемого файла программы-вымогателя LockBit 3 – mordor.exe (рис. 20).
Рис. 20. Конфигурация программы-вымогателя LockBit 3 (Black).
Для распространения программы-вымогателя в локальной сети жертвы злоумышленники не используют встроенное самораспространение LockBit 3 (Black), программа-вымогатель размещалась в каталоге общедоступных файлов Active Directory:
\\<DNS_DOMAIN_NAME>\sysvol\<DNS_DOMAIN_ NAME>\scripts\
DNS_DOMAIN_ NAME – имя домена DNS.
Для распространения в сети жертвы и запуска программы-вымогателя на хосты копировался пакетный файл (BAT-файл), его содержимое может различаться в зависимости от атаки (рис. 21). Указанный BAT-файл до запуска программы-вымогателя осуществляет удаление теневых копий томов, остановку служб и процессов, связанных с базами данных, системами резервного копирования, средствами безопасности, офисными программами и т.п.
Рис. 21. Отредактированное содержимое BAT-файла.
Zgut
В отличие от предыдущей группа Zgut позиционирует себя как финансово мотивированную группу, причем с весьма нескромными аппетитами: по нашей информации, сумма первоначального выкупа достигала 80 миллионов рублей в биткоинах (BTC). Свою деятельность группа начала не позднее декабря 2023 года. Для названия Zgut нами было использовано начало имени используемого группой домена Tor. В атаках Zgut использует все тот же «джентльменский» набор из LockBit 3 (Black) для шифрования хостов под управлением Windows и Babuk для шифрования гипервизоров ESXi.
Финансовая мотивация подразумевает непосредственное общение с жертвой с целью принуждения ее к выплате выкупа. Для такого «тесного» общения для каждой жертвы создается персональный чат в Tor, в созданной программой-вымогателем записке с требованием выкупа содержатся учетные данные для доступа к чату.
Рис. 22. Содержимое текстового файла с требованием выкупа за расшифровку.
В ходе общения с представителем жертвы переговорщики используют различные методы принуждения: от обещания полностью восстановить ИТ-инфраструктуру и предоставить подробный отчет о проведении «пентеста» при оплате выкупа и до откровенного запугивания жертвы при ее отказе.
Злоумышленники до шифрования данных похищают данные жертвы и используют их в качестве дополнительного рычага давления на жертву, обещая их опубликовать. Также атакующие угрожают жертве повторными атаками в будущем (рис. 23). При оплате же злоумышленники обещают удалить похищенные данные и предоставить якобы доказательства этого, а также не осуществлять впредь атаки на эту компанию.
Группа не имеет сайта утечек (DLS), то есть данные могут быть опубликованы или проданы на различных ресурсах, посвященных утечкам. Очевидно, что обещания политически мотивированных злоумышленников могут ничего не стоить, их совершенно не волнует репутация группы, в любой момент может быть произведен её «ребрендинг». Никто не может гарантировать, что похищенные документы спустя некоторое время не будут опубликованы и не повторятся атаки. Эта же группа, но под другой вывеской вполне может снова атаковать, либо жертву могут просто передать другой смежной группе.
Рис. 23. Сообщения злоумышленников в чате.
Заключение
Мы рассмотрели наиболее характерные преступные группы вымогателей, действующие на настоящий момент. О существовании некоторых знали лишь профильные эксперты. Специалисты F.A.C.C.T. не понаслышке знакомы с вымогателями и знают, какую угрозу они несут и к каким последствиям могут привести атаки с использованием программ-вымогателей. Приоритетом компании F.A.C.C.T. является предотвращение подобных инцидентов, помощь в расследовании и устранении последствий. Для некоторых семейств программ-вымогателей специалистами компании разрабатываются программы расшифровки для восстановления данных.
Напомним, что более подробную техническую информацию о программах-вымогателях и группах вы можете найти на тематическом гитхабе компании F.A.C.C.T. — следите за обновлениями!
