Новый шифровальщик от REvil нацелен на виртуальные машины ESXi
Операторы REvil теперь использует шифровальщик под Linux, который нацеливается и шифрует виртуальные машины Vmware ESXi.
По мере того, как предприятия переходят на виртуальные машины для упрощения резервного копирования, управления устройствами и эффективного использования ресурсов, кибергруппы все чаще создают собственные инструменты для массового шифрования хранилищ, используемых виртуальными машинами.
В мае Елисей Богуславский из Advanced Intel поделился сообщением на форуме о работе REvil, в котором они подтвердили, что выпустили версию своего шифратора для Linux, которая также может работать на устройствах NAS.
Сегодня исследователь безопасности MalwareHunterTeam обнаружил версию вымогателя REvil для Linux (также известную как Sodinokibi), которая также нацелена на серверы ESXi.
Виталий Кремез из Advanced Intel, который проанализировал новый вариант REvil Linux, сказал BleepingComputer, что это исполняемый файл ELF64 и включает те же параметры конфигурации, что и более распространенный исполняемый файл Windows.
Кремез заявляет, что это первый известный случай, когда вариант Linux стал общедоступным с момента его выпуска.
При выполнении на сервере злоумышленник может указать путь для шифрования и включить тихий режим, как показано в приведенных ниже инструкциях по использованию.
Usage example: elf.exe --path /vmfs/ --threads 5
without --path encrypts current dir
--silent (-s) use for not stoping VMs mode
!!!BY DEFAULT THIS SOFTWARE USES 50 THREADS!!!
При выполнении на серверах ESXi он запускает инструмент командной строки esxcli для вывода списка всех работающих виртуальных машин ESXi и их завершения.
esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | awk -F ""*,"*" '{system("esxcli vm process kill --type=force --world-id=" $1)}'
Эта команда используется для закрытия файлов диска виртуальной машины (VMDK), хранящихся в папке / vmfs /, чтобы вредоносная программа-вымогатель REvil могла зашифровать файлы без их блокировки ESXi.
Как объяснил технический директор Emsisoft Фабиан Восар, если виртуальная машина не будет правильно закрыта перед шифрованием файла, это может привести к повреждению данных.
Выбирая таким образом виртуальные машины, REvil может зашифровать сразу несколько серверов с помощью одной команды.
Восар сообщил, что другие операторы программам-вымогателей, таких как Babuk, RansomExx / Defray, Mespinoza, GoGoogle, DarkSide и Hellokitty, также создали шифровальщики Linux для нацеливания на виртуальные машины ESXi.
«Причина, по которой большинство групп программ-вымогателей внедрили версию своих программ-вымогателей для Linux, состоит в том, чтобы нацеливаться именно на ESXi, - сказал Восар.
Babuk Ransomware вернулась и использует новую версию в корпоративных сетях
Объявив о выходе из бизнеса программ-вымогателей в пользу вымогательства кражи данных, кибергрупаа Бабука, похоже, вернулась к своей старой привычке шифровать корпоративные сети.
Преступники в настоящее время используют новую версию своей вредоносной программы для шифрования файлов и перенесли операцию на новый сайт утечки, на котором перечислены несколько жертв.
все еще в игре
Группа Babuk стала известна в начале года, но, по словам группы, их атаки начались в середине октября 2020 года, нацелены на компании по всему миру и требуют выкупа, как правило, в размере от 60 000 до 85 000 долларов в биткойн-криптовалюте. В некоторых случаях жертв просили расшифровать данные у сотен тысяч.
Одна из их самых известных жертв - Управление столичной полиции Вашингтона (округ Колумбия). Эта атака, вероятно, подтолкнула злоумышленника к объявлению о своем уходе из бизнеса вымогателей только для того, чтобы принять другую модель вымогательства, которая не включала шифрование.
Групаа также объявила о планах выпустить свое вредоносное ПО, чтобы другие киберпреступники могли начать операцию по использованию программы-вымогателя как услуги. Злоумышленник сдержал свое обещание и опубликовал свой конструктор - инструмент, который генерирует настраиваемые программы-вымогатели.
Исследователь безопасности Кевин Бомонт нашел его на VirusTotal и поделился информацией, чтобы помочь сообществу информационных технологий в обнаружении и дешифровании.
После закрытия в апреле группа взяла название PayLoad Bin, но их сайт утечки малоактивен. Вместо этого в темной сети появился новый сайт утечки информации, содержащий маркировку программы-вымогателя Babuk.
На сайте перечислено менее пяти жертв, которые отказались платить выкуп и подверглись атаке с помощью второй версии вредоносного ПО.
Похоже, что Бабук не отказался от игры с шифрованием-вымогательством. Они выпустили только старую версию своего вредоносного ПО и создали новую, чтобы вернуться в бизнес с программами-вымогателями.
Похоже, что группа Бабука не готова отказаться от шифрования файлов и продолжит концентрироваться на корпоративных сетях для более крупных платежей.
Group-IB: Тактики, техники и процедуры партнеров REvil
1.Рекомендации по обнаружению: отслеживайте, как WScript.exe запускает скрипты из необычных мест, выполняет процессы cmd.exe/powershell.exe или же осуществляет внешние сетевые подключения.
2. Как и многие другие операторы программ-вымогателей, партнеры REvil использовали серийное вредоносное ПО для получения первоначального доступа к целевым сетям. Двумя свежими примерами являются IcedID и Qakbot — это ПО уже давно используется в атаках, связанных с программами-вымогателями.
Рекомендации по обнаружению: отслеживайте события, связанные с созданием таких подозрительных процессов, как rundll32.exe, regsvr32.exe или mshta.exe, с помощью winword.exe или excel.exe. Обратите особое внимание на rundll32.exe и regsvr32.exe, которые запускают файлы без расширения .dll.
3. Рекомендации по обнаружению: постоянные библиотеки DLL для обоих троянов (IcedID и Qakbot) обычно находятся в подпапках профиля пользователя, поэтому вы можете обнаружить rundll32.exe или regsvr32.exe, запускающие подозрительные библиотеки DLL из таких мест.
4. Рекомендации по обнаружению: как правило, между первым успешным несанкционированным доступом и доступом, с которого начинается фактическая пост-эксплуатация, проходит некоторое время. Поэтому, если вы не используете многофакторную аутентификацию для общедоступных RDS и VPN, убедитесь, что ваша команда успешно отслеживает входы в систему из необычных мест.
5. Двумя наиболее распространенными инструментами сетевого сканирования, обнаруженными командой Group-IB в рамках реагирования на инциденты, стали Advanced IP Scanner и SoftPerfect Network Scanner. В некоторых случаях партнеры загружали эти инструменты прямо с официальных сайтов, используя взломанный хост.
Рекомендации по обнаружению: злоумышленники редко переименовывают инструменты сетевого сканирования, поэтому можно легко искать имена файлов. А если такие инструменты все-таки были переименованы, стоит сосредоточиться на названиях и описаниях продуктов, которые по-прежнему позволяют их обнаруживать.
6.Во многих случаях этап разведки включал в себя не только сетевое сканирование. Обычно партнерам приходится собирать информацию об Active Directory, поэтому, в процессе расследования довольно часто можно обнаружить свидетельства использования таких инструментов, как AdFind, ADRecon и Sharphound.
Рекомендации по обнаружению: популярные инструменты разведки Active Directory, которые обычно используются партнерами REvil, имеют очень типичные аргументы командной строки, которые можно использовать в процессе обнаружения.
7. Рекомендации по обнаружению: партнеры REvil часто используют различные встроенные инструменты для сбора информации о целевой сети. Большинство из них редко используются системными и сетевыми администраторами, поэтому обнаружить необычные процессы должно быть легко.
8. Говоря о техниках, которые партнеры REvil используют с целью избежать обнаружения, стоит отметить, что злоумышленники не пытаются отключить системы безопасности. Они предпочитают переводить их в режим "обнаружения", чтобы вредоносные инструменты не были заблокированы. Такой подход позволяет злоумышленникам использовать очень распространенные и легко обнаруживаемые средства для дампинга учетных данных, например, Mimikatz и LaZagne. В некоторых случаях преступники хотели быть более скрытными и использовали ProcDump, чтобы получить дамп процесса LSASS.
Еще один распространенный способ получения доступа к учетным данным, использованный в некоторых инцидентах, — поиск паролей в различных файлах пользователей, к примеру, в текстовых документах.
9. Злоумышленники используют самые разные инструменты пост-эксплуатации:
Все вышеупомянутые инструменты также позволяют партнерам REvil осуществлять горизонтальное перемещение, особенно если они уже собрали учетные данные высокого порядка.
Рекомендации по обнаружению: как правило, злоумышленники не склонны прибегать к необычным техникам, когда они используют инструменты пост-эксплуатации. Поэтому если вы сосредоточитесь на обычных аргументах командной строки, типичных для Cobalt Strike, PowerShell Empire и другого вредоносного ПО, то вы, скорее всего, сумеете успешно их обнаружить.
10. Партнеры REvil печально известны тем, что успевают извлечь данные до фактического развертывания программы-вымогателя. Обычно преступники используют WinSCP. Во многих случаях они просто устанавливают его на сервер и используют протокол SMB для доступа к интересующим данным на других хостах, отправляя их на серверы, находящиеся под контролем злоумышленников.
Помимо этого, преступники используют приложения, связанные с облачным хранилищем, к примеру, MEGASync. В то же время они могут использовать веб-браузер для доступа к аналогичным облачным хранилищам и последующей кражи данных.
Рекомендации по обнаружению: отслеживайте установку необычных приложений, которые потенциально могут быть использованы для кражи данных, например, клиенты FTP/SFTP и облачных хранилищ. Помимо этого, стоит обращать внимание на подключение к веб-сайтам, связанным с облачным хранилищем, которое было произведено из необычных мест.
Campbell Conroy & O'Neil, P.C. (Campbell), американская юридическая фирма, консультирующая десятки компаний из списка Fortune 500 и Global 500, раскрыла утечку данных после атаки программы-вымогателя в феврале 2021 года.
В список клиентов Кэмпбелла входят известные компании из различных секторов промышленности, включая автомобилестроение, авиацию, энергетику, страхование, фармацевтику, розничную торговлю, гостиничный бизнес и транспорт.
Некоторые из его нынешних и прошлых клиентов включают Exxon, Apple, Mercedes Benz, Boeing, Home Depot, British Airways, Dow Chemical, Allianz Insurance, Universal Health Services, Marriott International, Johnson & Johnson, Pfizer, Time Warner и многие другие.
«27 февраля 2021 года Кэмпбелл стало известно о необычной активности в своей сети», - сообщила юридическая фирма в опубликованном ранее сегодня пресс-релизе.
«Кэмпбелл провел расследование и установил, что на сеть воздействовали программы-вымогатели, которые препятствовали доступу к определенным файлам в системе».
Компания наняла сторонних судебно-медицинских экспертов для расследования инцидента после обнаружения атаки и уведомила ФБР о нарушении безопасности.
Кэмпбелл выпустил пресс-релиз с уведомлением, поскольку расследование установило, что к информации, касающейся пострадавших лиц, получили доступ злоумышленники, стоящие за атакой программы-вымогателя.
Хотя нет четких доказательств того, что операторы программ-вымогателей получают доступ к конкретной информации о каждом потенциально уязвимом человеке, Кэмпбелл подтвердил, что затронутые устройства содержат различные типы данных.
Как выяснил Кэмпбелл,
злоумышленники могли получить доступ к «именам определенных лиц, датам рождения, номерам водительских прав / идентификационным номерам штата, информации о финансовых счетах, номерам социального страхования, номерам паспортов, информации о платежных картах, медицинской информации, информации о медицинском страховании и т.д. биометрические данные и / или учетные данные онлайн-аккаунта (т. е. имена пользователей и пароли) ".
LockBit Ransomware теперь шифрует домены Windows с помощью групповых политик
Обнаружена новая версия программы-вымогателя LockBit 2.0, которая автоматизирует шифрование домена Windows с помощью групповых политик Active Directory.
Операция LockBit была запущена в сентябре 2019 года как RAAS, при которой злоумышленники нанимаются для взлома сетей и шифрования устройств.
В свою очередь, привлеченные партнеры зарабатывают 70-80% выкупа, а разработчики LockBit оставляют себе остальное.
На протяжении многих лет операции с программами-вымогателями были очень активными, представитель кибергруппы продвигал эту деятельность и оказывал поддержку на хакерских форумах.
После того, как темы о программах-вымогателях были запрещены на хакерских форумах, LockBit начала продвигать новую операцию RAAS LockBit 2.0 на своем сайте утечки данных.
В новую версию LockBit включены многочисленные расширенные функции, две из которых описаны ниже.
Использует обновление групповой политики для шифрования сети
LockBit 2.0 предлагает длинный список функций, многие из которых в прошлом использовались другими программами-вымогателями.
Однако осталась одна продвигаемая функция, разработчики которой утверждают, что автоматизировали распространение программ-вымогателей по всему домену Windows без использования скриптов.
Когда злоумышленники взламывают сеть и, наконец, получают контроль над контроллером домена, они используют стороннее программное обеспечение для развертывания сценариев, отключающих антивирус, а затем запускают программу-вымогатель на машинах в сети.
В образцах вымогателя LockBit 2.0, обнаруженного MalwareHunterTeam и проанализированного BleepingComputer и Виталием Кремезом, злоумышленники автоматизировали этот процесс, так что вымогатель распространяется по всему домену при запуске на контроллере домена.
При запуске программа-вымогатель создает новые групповые политики на контроллере домена, которые затем передаются на каждое устройство в сети.
Эти политики отключают защиту в реальном времени Microsoft Defender, предупреждения, отправку образцов в Microsoft и действия по умолчанию при обнаружении вредоносных файлов,
LockBit 2.0 также включает функцию, ранее использовавшуюся операцией Egregor Ransomware, которая распечатывает записку о выкупе на всех сетевых принтерах.
Когда программа-вымогатель завершит шифрование устройства, она будет многократно печатать записку о выкупе на всех подключенных сетевых принтерах, чтобы привлечь внимание жертвы,
После периода почти полной активности вымогатель DoppelPaymer осуществил ребрендинг, получив название Grief (также известного как Pay or Grief).
Неясно, стоит ли кто-нибудь из первоначальных разработчиков по-прежнему за этой программой-вымогателем как услуга (RaaS), но ключи, обнаруженные исследователями безопасности, указывают на продолжение «проекта».
Активность DoppelPaymer начала снижаться в середине мая, примерно через неделю после атаки DarkSide на Colonial Pipeline, одного из крупнейших операторов топливных трубопроводов в США.
Поскольку с 6 мая на их сайте утечки не было никаких обновлений, похоже, DoppelPaymer сделала шаг назад, ожидая, пока внимание общественности к атакам программ-вымогателей рассеется.
Однако исследователи безопасности в прошлом месяце указали, что Grief и DoppelPaymer являются именами одной и той же угрозы.
Фабиан Восар из Emsisoft сообщил, что они использовали один и тот же зашифрованный формат файла и один и тот же канал распространения - ботнет Dridex.
Несмотря на попытки злоумышленника сделать Grief похожей на отдельный RaaS, сходство с DoppelPaymer настолько разительно, что связь между ними невозможно игнорировать.
Новости о программе-вымогателе Grief появились в начале июня, когда считалось, что это новая операция, но был обнаружен образец с датой компиляции 17 мая.
Кроме того, две угрозы вымогателей основаны на очень похожем коде, который реализует «идентичные алгоритмы шифрования (2048-битный RSA и 256-битный AES), хеширование импорта и расчет смещения точки входа».
Еще одно сходство заключается в том, что и Grief, и DoppelPaymer используют Общие правила защиты данных Европейского союза (GDPR) в качестве предупреждения о том, что жертвам, не уплачивающим деньги, все равно придется столкнуться с судебными санкциями из-за нарушения.
Grief перешла на криптовалюту Monero, что может быть защитной мерой от возможных действий правоохранительных органов, которые могут привести к изъятию уже собранных выкупных денег.
BlackMatter ransomware восстанавливается из пепла DarkSide, REvil
Новая кибергруппа под названием BlackMatter покупает доступ к корпоративным сетям, утверждая, что включает в себя лучшие функции известных и ныне несуществующих операций REvil и DarkSide.
В сообщении злоумышленник заявил, что хочет купить доступ к сетям в США, Канаде, Австралии и Великобритании, за исключением сетей, связанных с медицинскими и государственными организациями.
Они также поделились, что готовы потратить от 3000 до 100000 долларов на каждую сеть, которая соответствовала следующим критериям:
Выручка 100 миллионов долларов и более.
В сети должно быть 500-15 000 устройств.
Это должна быть новая сеть, на которую другие злоумышленники еще не нацелились.
В дополнение к публикации информации о своей деятельности, BlackMatter заявляет, что они не будут нацелены на организации в следующих отраслях:
Больницы.
Объекты критической инфраструктуры (атомные электростанции, электростанции, водоочистные сооружения).
Нефтегазовая промышленность (трубопроводы, нефтеперерабатывающие заводы).
Оборонная промышленность.
Некоммерческие компании.
Государственный сектор.
Recorded Future сообщает, что исполняемые файлы программ-вымогателей имеют различные форматы, поэтому они могут шифровать различные операционные системы и архитектуру устройств.
«Программа-вымогатель предоставляется для нескольких различных версий операционных систем и архитектур и доступна в различных форматах, включая вариант Windows с поддержкой SafeMode (EXE / Reflective DLL / PowerShell) и вариант Linux с поддержкой NAS: Synology, OpenMediaVault, FreeNAS (TrueNAS) », - сообщает Recorded Future.
Согласно BlackMatter, вариант вымогателя Windows был успешно протестирован на Windows Server 2003+ x86 / x64 и Windows 7+ x64 / x86. Вариант вымогателя Linux был успешно протестирован на ESXI 5+, Ubuntu, Debian и CentOs. Поддерживаемые файловые системы для Linux включают VMFS, VFFS, NFS, VSAN ".
Восстановление из пепла DarkSide и REvil?
Информация, обнаруженная исследователями в области безопасности, а также сходство веб-сайтов и партнеров могут указывать на то, что BlackMatter нанял или был создан злоумышленниками, которые ранее участвовали в операциях вымогателей DarkSide и REvil.
О закрытии DarkSide впервые сообщил публичный представитель REvil, Unknown, который разместил об этом на хакерском форуме.
Два месяца спустя настала очередь REvil закрыться после массированной атаки на поставщиков управляемых услуг по всему миру с помощью уязвимости Kaseya VSA нулевого дня.
Как и DarkSide, REvil испытывал сильное давление со стороны правительства США и международных правоохранительных органов.
Recorded Future также сообщает, что BlackMatter заявила: «Проект вобрал в себя лучшие функции DarkSide, REvil и LockBit».
Изучив просочившийся двоичный код дешифратора BlackMatter, я убедился, что мы имеем дело с ребрендингом Darkside. Криптографические подпрограммы в значительной степени являются точной копией их реализации как RSA, так и Salsa20, включая использование настраиваемой матрицы.
Ребрендинг от DarkSide также объясняет причину, по которой новая группа BlackMatter не будет нацелена на «нефтегазовую промышленность (трубопроводы, нефтеперерабатывающие заводы)», что привело к их предыдущему краху.
К сожалению, это высококвалифицированная группа, ориентирована на несколько архитектур устройств, включая серверы Windows, Linux и ESXi.
В связи с этим нам нужно будет следить за этой новой группой, поскольку они обязательно будут атаковать хорошо известные цели в будущем.
LockBit вербует инсайдеров для взлома корпоративных сетей
LockBit 2.0 активно вербует корпоративных инсайдеров, чтобы помочь им взламывать и шифровать сети. Взамен инсайдеру обещаны выплаты в миллион долларов.
Во многих случаях аффилированные лица покупают доступ к сетям у других сторонних пентестеров, а не взламывают сами компанию.
С помощью LockBit 2.0 кибергруппа пытается удалить посредника и вместо этого нанять инсайдеров, чтобы им предоставили доступ к корпоративной сети.
LockBit 2.0 обещает инсайдерам миллионы долларов
В июне LockBit объявила о запуске своей новой программы-вымогателя LockBit 2.0 ransomware-as-a-service.
Этот перезапуск включал переработанный дизайн сайтов Tor и многочисленные расширенные функции, включая автоматическое шифрование устройств в сети с помощью групповых политик.
С этим перезапуском LockBit также изменил обои Windows, размещенные на зашифрованных устройствах, чтобы предложить «миллионы долларов» корпоративным инсайдерам, которые предоставляют доступ к сетям, в которых у них есть учетные записи.
Полный текст с отредактированной контактной информацией объясняет, что LockBit ищет RDP, VPN, учетные данные корпоративной электронной почты, которые они затем могут использовать для получения доступа к сети.
Банда программ-вымогателей также заявляет, что отправит инсайдеру «вирус», который должен быть запущен на компьютере, что, вероятно, предоставит банде вымогателей удаленный доступ к сети.
«Хотите заработать миллионы долларов?
Наша компания получает доступ к сетям различных компаний, а также к инсайдерской информации, которая может помочь вам украсть самые ценные данные любой компании.
Вы можете предоставить нам учетные данные для доступа к любой компании, например, логин и пароль к RDP, VPN, корпоративной почте и т. Д. Откройте наше письмо на свою электронную почту. Запустите предоставленный вирус на любом компьютере в вашей компании.
Компании платят нам взыскание за расшифровку файлов и предотвращение утечки данных.
Вы можете общаться с нами через мессенджер Tox
хттп://tox.chat/download.html
Используя мессенджер Tox, мы никогда не узнаем ваше настоящее имя, а это значит, что ваша конфиденциальность гарантирована.
Если вы хотите с нами связаться, используйте ToxID: xxxx "
Производитель компьютерного оборудования GIGABYTE подвергся нападению RansomEXX
Тайваньский производитель материнских плат пострадал от RansomEXX, которые угрожают опубликовать 112 ГБ украденных данных, если не будет уплачен выкуп.
Gigabyte наиболее известна своими материнскими платами, но также производит другие компьютерные компоненты и оборудование, такие как видеокарты, серверы центров обработки данных, ноутбуки и мониторы.
Атака произошла поздно вечером вторника в среду и вынудила компанию закрыть свои системы на Тайване. Инцидент также затронул несколько веб-сайтов компании, включая сайт поддержки и отдельные части тайваньского веб-сайта.
На закрытой странице утечки злоумышленники утверждают, что украли 112 ГБ данных из внутренней сети Gigabyte, а также из репозитория Git American Megatrends,
Мы скачали 112 ГБ (120 971 743 713 байт) ваших файлов и готовы ОПУБЛИКОВАТЬ их.
Что нужно знать о RansomEXX
Операция вымогателей RansomEXX первоначально началась под названием Defray в 2018 году, но в июне 2020 года была переименована в RansomEXX, когда они стали более активными.
Как и другие операции с программами-вымогателями, RansomEXX может взломать сеть с помощью протокола удаленного рабочего стола, эксплойтов или украденных учетных данных.
Получив доступ к сети, они будут собирать больше учетных данных, постепенно получая контроль над контроллером домена Windows. Во время этого бокового распространения по сети злоумышленники будут красть данные с незашифрованных устройств, которые используются в качестве рычага для вымогательства.
RansomEXX не только нацелен на устройства Windows, но также создал шифровальщик Linux для шифрования виртуальных машин, на которых работают серверы VMware ESXi.
Универсальный ключ дешифрования REvil Касеи просочился на хакерский форум
Универсальный ключ дешифрования для атаки REvil на клиентов Касеи просочился на хакерских форумах, что позволило исследователям впервые увидеть загадочный ключ.
2 июля кибергруппа REvil начала массированную атаку на поставщиков управляемых услуг по всему миру, используя уязвимость нулевого дня в приложении удаленного управления Kaseya VSA.
После атаки злоумышленники потребовали выкуп в размере 70 миллионов долларов за универсальный дешифратор, с помощью которого можно было бы расшифровать всех жертв атаки.
Однако кибергруппа REvil таинственным образом исчезла, и вскоре после этого платежные сайты и инфраструктура Tor были закрыты.
Исчезновение группы помешало компаниям, которым, возможно, нужно было купить дешифратор, теперь не удалось этого сделать.
22 июля Касея получил универсальный ключ дешифрования для атаки вымогателя от таинственной «доверенной третьей стороны» и начал распространять его среди пострадавших клиентов.
Прежде чем поделиться дешифратором с клиентами, CNN сообщила, что Касея потребовала от них подписать соглашение о неразглашении, что может объяснить, почему ключ дешифрования не показывался до сих пор.
Ключ дешифрования просочился на хакерский форум
Вчера исследователь безопасности Pancak3 сообщил, что кто-то опубликовал на хакерском форуме скриншот того, что, по их словам, является универсальным дешифратором REvil.
Этот пост связан со снимком экрана на GitHub, на котором показан дешифратор REvil, работающий при отображении хешированного ключа base64 master_sk. Этот ключ - «OgTD7co7NcYCoNj8NoYdPoR8nVFJBO5vs / kVkhelp2s =», как показано ниже.
Когда жертвы вымогателя REvil платят выкуп, они получают либо дешифратор, который работает для одного зашифрованного расширения файла, либо универсальный дешифратор, который работает для всех зашифрованных расширений файлов, используемых в конкретной кампании или атаке.
На приведенном выше снимке экрана показан универсальный дешифратор REvil, который может расшифровать все расширения, связанные с атакой.
Для ясности: хотя изначально предполагалось, что ключ дешифрования на этом скриншоте может быть главным «операторским» ключом для всех кампаний REvil, BleepingComputer подтвердил, что это только универсальный ключ дешифратора для жертв атаки Kaseya.
Это также подтвердил технический директор Emsisoft и эксперт по программам-вымогателям Фабиан Восар
BleepingComputer проверил утечку ключа, установив на универсальный дешифратор REvil исправление с ключом дешифрования, обнаруженным на скриншоте.
(c2cf2118550a0fd7f81fe9913fe36be24c03a0ae5430b94557e0ee71c550a58c)
Далее, BleepingComputer использовал пропатченный REvil Universal Decryptor для успешного дешифрования зашифрованных файлов.
На других образцах REvil, которые накопились за последние два года декриптор не работал, что указывает на то, что он не является основным ключом дешифрования для всех жертв REvil.
Непонятно, почему дешифратор Kaseya был размещен на хакерском форуме, который жертва вряд ли может разместить.
Независимо от причин, по которым он был опубликован, для тех, кто следит за атакой программы-вымогателя Kaseya, это наш первый доступ к универсальному ключу дешифратора, который таинственным образом получил Kaseya.
Accenture подтверждает взлом после угроз утечки данных от программ-вымогателей LockBit
Accenture, глобальный консалтинговый ИТ-гигант, якобы подвергся кибератаке с использованием программ-вымогателей со стороны банды вымогателей LockBit.
Accenture - это ИТ-гигант, который, как известно, обслуживает широкий спектр отраслей, включая автомобили, банки, правительство, технологии, энергетику, телекоммуникации и многие другие.
Accenture, оцениваемая в 44,3 миллиарда долларов, является одной из крупнейших консалтинговых компаний в мире, в которой работает около 569 000 сотрудников в 50 странах.
Группа программ-вымогателей угрожает утечкой украденных данных
Группа вымогателей, известная как LockBit 2.0, угрожает опубликовать данные о файлах, предположительно украденных у Accenture во время недавней кибератаки.
Хотя LockBit не представила доказательств украденных данных, они заявляют, что готовы продать их любым заинтересованным сторонам.
Похищено 6 ТБ файлов, требуется выкуп в размере 50 миллионов долларов
В беседах, замеченных исследовательской группой Cyble, LockBit утверждает, что украла шесть терабайт данных у Accenture, и требует выкупа в размере 50 миллионов долларов.
Злоумышленники утверждают, что получили доступ к сети Accenture через корпоративного «инсайдера».
Источники, знакомые с атакой, сообщили, что Accenture подтвердила атаку программ-вымогателей, по крайней мере, одного поставщика CTI, и поставщик ИТ-услуг также находится в процессе уведомления большего числа клиентов.
Кроме того, компания Hudson Rock, занимающаяся разведкой киберпреступлений, сообщила, что у Accenture было 2500 взломанных компьютеров, принадлежащих сотрудникам и партнерам.
LockBit ранее поражал множество жертв, в том числе железнодорожную сеть Merseyrail в Великобритании.
Ранее на этой неделе правительство Австралии предупредило об эскалации атак программ-вымогателей LockBit 2.0 после того, как было замечено, что группа активно вербует инсайдеров в компаниях, которые они планируют взломать, в обмен на вознаграждение в миллионы долларов.
Скрипт вымогателей показывает именно те файлы, которые им нужны
Сценарий PowerShell, используемый операторами вымогателя Pysa, дает нам возможность взглянуть на типы данных, которые они пытаются украсть во время кибератаки.
Когда операторы Ransomware взламывают сеть, они обычно начинают с ограниченного доступа к одному устройству.
Затем они используют различные инструменты и эксплойты для кражи других учетных данных, используемых в домене Windows, или получения повышенных прав на разных устройствах.
Получив доступ к контроллеру домена Windows, они ищут и крадут данные в сети перед шифрованием устройств.
Злоумышленники используют украденные данные двумя способами.
Первый - создать спрос на выкуп, основанный на доходах компании и наличии у них страховых полисов. Второй - запугать жертв, заставив их заплатить выкуп за похищенные данные.
Поиск ценных данных
Команда MalwareHunterTeam поделилась сценарием PowerShell с BleepingComputer, используемым операцией вымогателя Pysa для поиска и эксфильтрации данных с сервера.
Этот сценарий разработан для сканирования каждого диска на предмет папок с данными, имена которых соответствуют определенным строкам на устройстве. Если папка соответствует критериям поиска, сценарий загрузит файлы папки на удаленный сервер путем перетаскивания под управлением злоумышленника.
Особый интерес представляют 123 ключевых слова, которые ищет сценарий, которые дают нам представление о том, что именно злоумышленники считает ценным.
Как и следовало ожидать, скрипт ищет файлы, связанные с финансовой или личной информацией компании, такие как аудит, банковская информация, учетные данные, налоговые формы, информация о студентах, номера социального страхования и документы SEC.
Однако он также ищет более интригующие ключевые слова, которые могут быть особенно вредными для компании в случае утечки, например папки, содержащие слова «преступление», «расследование», «мошенничество», «бюро», «федеральный», «скрытый», «секретный», «незаконный» и «террор».
Полный список из 123 ключевых слов, на которые ссылается скрипт злоумышленников, приведен в таблице ниже.
Переведенное руководство по работе с программами-вымогателями Conti дает представление об атаках
исследователи безопасности предоставили переведенный вариант, в котором представлена
информация о методах атаки данной кибергруппы и тщательности инструкций, которые позволяют менее опытным участникам становиться филиалами программ-вымогателей Conti и поражать ценные цели.
Лингвисты, работающие с исследователями Cisco Talos, просмотрели просочившийся материал, чтобы предоставить версию на английском языке, которая точно описывает методы и инструменты.
Сценарии атак, описанные в документах, были настолько тщательными, что, по словам исследователей, «даже злоумышленники-любители [могли] проводить разрушительные атаки программ-вымогателей».
Среди «советов», представленных в руководствах, - как получить доступ администратора после взлома сети жертвы с помощью команд и инструментов для составления списка пользователей, особенно тех, которые имеют доступ к Active Directory.
Также подробно описывается простая разведка, такая как проверка LinkedIn и других платформ социальных сетей для выявления сотрудников с привилегированным доступом, с примечанием, что эти методы лучше работают для компаний в США и Европе
Инструменты и методы
Самый популярный инструмент, описанный в просочившемся материале, - это фреймворк Cobalt Strike, сопровождаемый взломанной версией программного обеспечения 4.3.
В инструкциях по использованию также упоминается об использовании уязвимости ZeroLogon (CVE-2020-1472). Другие критические ошибки, упомянутые в сборнике программ-вымогателей Conti, - это PrintNightmare (CVE-2021-1675, CVE-2021-34527) и EternalBlue (CVE-2017-0143 / 0148).
Некоторые инструменты, подробно описанные противником, не являются тем, что исследователи Cisco обычно видят во время мероприятий по реагированию на инциденты:
Armitage - графический интерфейс на основе Java для платформы тестирования на проникновение Metasploit
SharpView - порт .NET для инструмента PowerView из набора инструментов PowerSploit Offensive на основе PowerShell.
SharpChrome - для расшифровки логинов и файлов cookie в Chrome
SeatBelt - собирает системные данные, такие как версия ОС, политика UAC, пользовательские папки
Среди других инструментов и утилит командной строки, описанных в просочившихся документах, есть следующие:
ADFind - инструмент запросов Active Directory
Платформа PowerShell - для отключения Защитника Windows
GMER - альтернатива для выявления решений безопасности и их отключения
SMBAutoBrute - для перебора учетных записей в текущем домене.
Kerberoasting - метод использования грубой силы для взлома хэша пароля Kerberos
Mimikatz - для выгрузки паролей из памяти
RouterScan - инструмент для обнаружения устройств в сети и извлечения паролей с помощью эксплойта или грубой силы.
AnyDesk - приложение удаленного рабочего стола для настойчивости
Atera - еще одна программа удаленного доступа
Перед тем, как перейти к эксплуатации, аффилированным лицам предлагается узнать о доходах своей жертвы, просмотрев информацию из открытых источников.
Утечка также включает видеоуроки, в основном на русском языке, в которых объясняется, как использовать PowerShell для проверки на проникновение, атак на Active Directory или как использовать SQL Server в домене Windows.
Большая часть видеоуроков (Metasploit, PowerShell, атаки и защита WMI, сетевое тестирование на проникновение) для аффилированных лиц взяты из различных ресурсов безопасности, доступных в Интернете.
Исследователи Cisco Talos считают, что переведенная версия просочившейся документации Conti поможет другим исследователям лучше понять тактику, методы и процедуры этого злоумышленника, а также других лиц, которые могут быть вдохновлены документацией.
«Это возможность для защитников убедиться, что у них есть логика для обнаружения такого поведения или компенсирующие меры, помогающие снизить риск. Этот перевод следует рассматривать как возможность для защитников лучше понять, как действуют эти группы, и какие инструменты они обычно используют в этих атаках », - Cisco Talos
Исследователи предоставляют переведенные отдельные тексты в ZIP-архиве, а также в PDF-файле. Краткое изложение материалов также доступно в Fortinet.
Серверы вымогателя REvil загадочным образом возвращаются в сеть
Dark Web серверы для работы REvil внезапно снова включились после почти двухмесячного отсутствия. Неясно, означает ли это возвращение их группы или серверы включаются правоохранительными органами.
2 июля REvil, также известная как Sodinokibi, использовала уязвимость нулевого дня в программном обеспечении удаленного управления Kaseya VSA для шифрования примерно 60 поставщиков управляемых услуг (MSP) и более 1500 своих бизнес-клиентов.
Затем REvil потребовал 5 миллионов долларов от MSP за дешифратор или 44 999 долларов за каждое зашифрованное расширение в отдельных компаниях.
Revil также потребовала 70 миллионов долларов за главный ключ дешифрования для расшифровки всех жертв Касеи, но вскоре снизила цену до 50 миллионов долларов.
После атаки кибергуппа столкнулась с растущим давлением со стороны правоохранительных органов.
Вскоре после этого REvil исчезла, а все их серверы и инфраструктура Tor были отключены.
По сей день неясно, что произошло, но жертвы программ-вымогателей, которые хотели вести переговоры, не могли этого сделать и не имели возможности восстанавливать файлы.
Загадочным образом Касея позже получила главный ключ дешифрования для жертв атаки и заявила, что он был от доверенной третьей стороны.
Инфраструктура REvil внезапно включается
Сегодня и сайт оплаты / переговоров Tor, и сайт утечки данных Tor 'Happy Blog' от REvil внезапно возобновили работу.
Самая последняя жертва на сайте утечки данных REvil была добавлена 8 июля 2021 года, всего за пять дней до загадочного исчезновения REvil.
В отличие от сайта утечки данных, который функционирует, сайт переговоров Tor, похоже, еще не полностью функционирует. Хотя он показывает экран входа в систему, как показано ниже, он не позволяет жертвам входить на сайт.
В настоящее время неясно, снова ли работает кибергуппа, серверы были снова включены по ошибке, или это связано с действиями правоохранительных органов.
BlackMatter атаковал компанию медицинских технологий Olympus
Olympus, ведущая компания в области медицинских технологий, расследует «потенциальный инцидент, связанный с кибербезопасностью», который на прошлой неделе затронул некоторые из ее ИТ-систем в регионе EMEA (Европа, Ближний Восток, Африка).
Компания Olympus насчитывает более 31 000 сотрудников по всему миру и имеет более чем 100-летний опыт разработки в области медицины, биологических наук и промышленного оборудования.
Подразделения компании по производству фотоаппаратов, аудиомагнитофонов и биноклей были переданы компании OM Digital Solutions, которая занимается продажей и распространением этих продуктов с января 2021 года.
Безопасность клиентов не пострадала от атаки
«Olympus в настоящее время расследует потенциальный инцидент кибербезопасности, затронувший ограниченные области ее ИТ-систем в регионе EMEA (Европа, Ближний Восток, Африка) 8 сентября 2021 года», - говорится в заявлении компании, опубликованном в субботу, через три дня после атаки.
«При обнаружении подозрительной активности мы немедленно мобилизовали специализированную группу реагирования, включая экспертов-криминалистов, и в настоящее время работаем над решением этой проблемы в первоочередном порядке.
«В рамках расследования мы приостановили передачу данных в затронутых системах и проинформировали соответствующих внешних партнеров».
Olympus также сообщил, что работает над определением степени ущерба, нанесенного этой атакой, и поделится дополнительной информацией, как только она станет доступна.
Признаки атаки программы-вымогателя BlackMatter
Хотя компания Olympus не сообщила никаких подробностей о личности злоумышленников, записки о выкупе остались в системах, затронутых во время атаки BlackMatter.
Те же записки о выкупе также указывают на веб-сайт Tor, который BlackMatter использовала в прошлом для общения с жертвами.
Ransomware шифрует серверы VMware ESXi с помощью скрипта Python
Операторы неизвестной кибергруппы ransomware используют скрипт Python для шифрования виртуальных машин, размещенных на серверах VMware ESXi.
Хотя язык программирования Python обычно не используется при разработке программ-вымогателей, это логичный выбор для систем ESXi, поскольку такие серверы на базе Linux поставляются с установленным Python по умолчанию.
Как недавно обнаружили исследователи Sophos при расследовании инцидента с программой-вымогателем, сценарий программы-вымогателя Python использовался для шифрования виртуальных машин жертвы, работающих на уязвимом гипервизоре ESXi, в течение трех часов после первого взлома.
«Недавно завершившееся расследование атаки программ-вымогателей показало, что злоумышленники выполнили специальный сценарий Python на гипервизоре виртуальной машины цели, чтобы зашифровать все виртуальные диски, отключив виртуальные машины организации», - сказал главный исследователь SophosLabs Эндрю Брандт.
«В ходе одной из самых быстрых атак, исследованных Sophos, с момента первоначального взлома до развертывания сценария вымогателя злоумышленники провели в сети цели чуть более трех часов, прежде чем зашифровать виртуальные диски на сервере VMware ESXi.
Виртуальные машины зашифрованы с помощью сценария размером 6 КБ
Посреди ночи злоумышленники взломали сеть жертвы на выходных, войдя в учетную запись TeamViewer, запущенную на устройстве, в котором вошел администратор домена.
Оказавшись внутри, они начали поиск в сети дополнительных целей с помощью Advanced IP Scanner и вошли на сервер ESXi через встроенную службу SSH ESXi Shell, которая была случайно оставлена включенной ИТ-персоналом (хотя по умолчанию она отключена).
Затем операторы программ-вымогателей выполнили сценарий Python размером 6 КБ для шифрования виртуальных дисков всех виртуальных машин и файлов настроек виртуальных машин.
Сценарий, частично восстановленный во время расследования инцидента, позволяет операторам программ-вымогателей использовать несколько ключей шифрования и адресов электронной почты и настраивать суффикс файла для зашифрованных файлов.
Он работает, выключая виртуальные машины, перезаписывая исходные файлы, хранящиеся на томах хранилища данных, затем удаляя их, чтобы заблокировать попытки восстановления, и оставляя зашифрованные файлы позади.
«Администраторы, использующие ESXi или другие гипервизоры в своих сетях, должны следовать лучшим практикам безопасности, избегать повторного использования паролей и использовать сложные, трудные для перебора пароли соответствующей длины», - рекомендовал Брандт.
«По возможности включите использование многофакторной аутентификации и принудительно используйте MFA для учетных записей с высокими разрешениями, таких как администраторы домена».
VMware также дает советы по обеспечению безопасности серверов ESXi, ограничивая риск несанкционированного доступа и поверхности атаки на самом гипервизоре.
Серверы VMware ESXi подвергаются атаке
Атака на серверы ESXi - очень разрушительная тактика для групп программ-вымогателей, поскольку большинство из них запускают несколько виртуальных машин одновременно, на многих из которых развернуты критически важные для бизнеса службы и приложения.
Многие группы, в том числе Darkside, RansomExx и Babuk Locker, использовали ошибки предварительной авторизации RCE в VMWare ESXi для шифрования виртуальных жестких дисков, используемых в качестве централизованного корпоративного хранилища.
Это не первый случай, когда вредоносные инструменты на основе Python использовались для нацеливания на серверы VMware, доступные в Интернете.
В июне исследователи обнаружили многоплатформенное вредоносное ПО FreakOut на основе Python, нацеленное на устройства Windows и Linux, обновленное для проникновения на серверы VMware vCenter, не исправленное для устранения критической ошибки RCE во всех установках по умолчанию.
FreakOut - это запутанный скрипт Python, предназначенный для уклонения от обнаружения с помощью полиморфного движка и руткита пользовательского режима, скрывающего вредоносные файлы, попавшие в зараженные системы.
Версии вымогателей HelloKitty и BlackMatter для Linux также были замечены в дикой природе в июле и августе, и обе они были нацелены на платформу виртуальных машин VMware ESXi.
Что еще хуже, поскольку VMware ESXi является одной из самых, если не самых популярных платформ корпоративных виртуальных машин, почти каждая группа программ-вымогателей, нацеленная на предприятия, начала разрабатывать свои шифраторы, специально предназначенные для виртуальных машин ESXi.
Российские организации атакуются небольшими кибергруппами
Несмотря на то, что на американские и европейские компании приходится львиная доля атак с использованием программ-вымогателей, российские компании в стране так же не избавлены от необходимости самостоятельно решать проблемы с шифрованием файлов и двойным вымогательством.
Как объясняет Касперский в подробном обзоре кибератак в первой половине 2021 года, СНГ (Содружество Независимых Государств) также является целью киберпреступной экосистемы, нацеленной на российские компании каждый месяц, и о большинстве из них не сообщается.
Наиболее заметными семействами программ-вымогателей, которые были развернуты в этом году против компаний, являются следующие:
Касперский предупреждает, что некоторые из этих штаммов все еще развиваются, и авторы работают над тем, чтобы сделать свои штаммы более мощными, поэтому ни один из них не следует игнорировать.
Российские компании могут предотвратить многие из этих угроз, просто заблокировав доступ по протоколу RDP, используя надежные пароли для учетных записей домена, которые регулярно меняются, и получая доступ к корпоративным сетям через VPN.
Новая фишинговая кампания, получившая название MirrorBlast, развертывает документы Excel с орудием, которые чрезвычайно сложно обнаружить для взлома финансовых организаций.
Наиболее примечательной особенностью MirrorBlast является низкий уровень обнаружения вредоносных документов Excel кампании программным обеспечением безопасности, что подвергает высокому риску фирмы, полагающиеся исключительно на средства обнаружения.
Разработчики этих вредоносных документов приложили значительные усилия для сокрытия вредоносного кода, добившись нулевого обнаружения на VirusTotal.
Однако у этих оптимизированных документов есть недостатки, которые, по-видимому, участники готовы принять в качестве компромисса. В частности, код макроса может выполняться только в 32-разрядной версии Office.
Если жертву обманом заставить открыть вредоносный документ и «разрешить содержимое» в Microsoft Office, макрос выполняет сценарий JScript, который загружает и устанавливает пакет MSI ».
Однако до этого макрос выполняет базовую проверку анти-песочницы на предмет того, совпадает ли имя компьютера с доменом пользователя и совпадает ли имя пользователя с «admin» или «administrator».
По словам исследователей из Morphisec, которые проанализировали несколько образцов сброшенного пакета MSI, он представлен в двух вариантах: один написан на REBOL, а другой - в KiXtart.
Вариант REBOL, который закодирован в base64, начинается с извлечения такой информации, как имя пользователя, версия ОС и архитектура.
Затем он ожидает команды C2, которая запускает Powershell, который выполнит второй этап. Однако исследователям не удалось получить эту ступень, поэтому ее функции неизвестны.
Полезная нагрузка KiXtart также зашифрована и также пытается передать основную информацию о машине на C2, включая домен, имя компьютера, имя пользователя и список процессов.
Акторами кампании, по всей видимости, являются «TA505», активная кибергруппа угроз, которая имеет долгую историю творческого подхода к использованию документов Excel в кампаниях по борьбе со спамом.
Morphisec смог связать участников с кампанией MirrorBlast благодаря сходству цепочки заражения с прошлыми операциями, злоупотреблению OneDrive, особенностям методов именования доменов и существованию несоответствия контрольной суммы MD5, которое указывает на атаку 2020 года, запущенную TA505.
TA505 также связан с многочисленными атаками с использованием уязвимости нулевого дня в устройствах безопасного обмена файлами Accenture FTA для кражи данных у организаций.
Затем злоумышленники попытались вымогать у компаний выкуп в размере 10 миллионов долларов, чтобы не допустить публичной утечки данных на их сайте утечки данных Clop.
Таким образом, ИТ-команды финансовых организаций, на которые распространяется кампания MirrorBlast, не могут позволить себе ослабить защиту даже на мгновение.
Операции REvil, вероятно, снова прекратилась после того, как неизвестный захватил их платежный портал Tor и блог об утечках данных.
Ранее сегодня сайты Tor были отключены, а злоумышленник, связанный с операцией REvil, разместил на форуме XSS-хакеров сообщение о том, что кто-то захватил домены группы.
Дмитрий Смилянец из Recorded Future заявляет, что неизвестный захватил скрытые службы Tor (луковые домены) с теми же закрытыми ключами, что и сайты Tor REvil, и, вероятно, имеет резервные копии сайтов.
«Но поскольку у нас сегодня в 17.10 с 12:00 по московскому времени кто-то поднял скрытые сервисы лендинга и блога с теми же ключами, что и наш, мои опасения подтвердились. У третьей стороны есть резервные копии с луковыми сервисными ключами, "злоумышленник, известный как '0_neday', разместил сообщение на хакерском форуме.
Злоумышленник заявил, что не обнаружил никаких признаков взлома своих серверов, но будет прекращать операцию.
Затем злоумышленник сказал аффилированным лицам связаться с ним для получения ключей дешифрования кампании через Tox, вероятно, чтобы филиалы могли продолжить вымогательство у своих жертв и предоставить дешифратор, если будет выплачен выкуп.
Чтобы запустить скрытую службу Tor (домен .onion), вам необходимо сгенерировать пару закрытого и открытого ключей, которая используется для инициализации службы.
Закрытый ключ должен быть защищен и доступен только доверенным администраторам, так как любой, у кого есть доступ к этому ключу, может использовать его для запуска той же службы .onion на своем собственном сервере.
Поскольку третья сторона смогла захватить домены, это означает, что у них тоже есть доступ к закрытым ключам скрытой службы.
На данный момент неизвестно, кто взломал их серверы.
Поскольку Bitdefender и правоохранительные органы получили доступ к главному ключу дешифрования REvil и выпустили бесплатный дешифратор, некоторые злоумышленники считают, что ФБР или другие правоохранительные органы получили доступ к серверам с момента их перезапуска.
REvil, скорее всего, отключится навсегда
После того, как REvil провела массовую атаку на компании через уязвимость нулевого дня в платформе Kaseya MSP, операция REvil внезапно прекратилась.
После того, как Unknown не вернулся, остальные операторы REvil снова запустили операцию и веб-сайты в сентябре, используя резервные копии.
С тех пор программа-вымогатель изо всех сил пыталась привлечь пользователей, доходя до увеличения комиссионных до 90%, чтобы побудить других злоумышленников работать с ними.
Из-за этой последней неудачи работа на текущем форуме, скорее всего, прекратится.
Однако, когда дело доходит до программ-вымогателей, ничто не длится вечно, и вскоре мы, скорее всего, увидим их ребрендинг как новую операцию.
Представитель программы-вымогателя Lockbit предположил, что перезапуск REvil в сентябре на самом деле был операцией ФБР.
...ФБР действительно могло взломать сервер REvil, могли получить не только ключ, но и полный дамп сайта и конструктора, могло восстановить сайт из дампа с тем, чтобы восстановить деятельность партнерской программы, и собрать доказательства, и поймать тех, до которых они не могли добраться.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
ФБР, CISA, NSA делятся советами по защите от атак программ-вымогателей BlackMatter
Агентство кибербезопасности и безопасности инфраструктуры (CISA), Федеральное бюро расследований (ФБР) и Агентство национальной безопасности (АНБ) опубликовали сегодня информационное сообщение с подробностями о том, как действует кибергруппа BlackMatter.
Эти три агентства также предоставляют информацию, которая может помочь организациям защититься от деятельность этого злоумышленника в сети.
Операция BlackMatter как услуги началась в июле с четкой целью взломать корпоративные сети, принадлежащие компаниям в США, Канаде, Австралии и Великобритании с доходом не менее 100 миллионов долларов.
Взломанные учетные данные
BlackMatter отвечает за шифрование систем в нескольких организациях в США и требует выкупа в размере 15 миллионов долларов в криптовалюте.
В совместных рекомендациях по кибербезопасности от CISA, ФБР и АНБ рассказывается о тактике, методах и процедурах, связанных с деятельностью BlackMatter, которые могут помочь организациям защититься от BlackMatter.
Один вариант вредоносного ПО, проанализированный в изолированной среде, показывает, что злоумышленник использовал скомпрометированные учетные данные администратора для обнаружения всех хостов в Active Directory жертвы.
Он также использовал функцию Microsoft Remote Procedure Call (MSRPC) (srvsvc.NetShareEnumAll), которая позволяла выводить список всех доступных сетевых ресурсов для каждого хоста.
«Примечательно, что этот вариант BlackMatter использует встроенные учетные данные и протокол SMB для удаленного шифрования с исходного скомпрометированного хоста» - говорится в рекомендациях CISA, ФБР и АНБ
Вредоносная программа для шифрования файлов BlackMatter также имеет версию для систем на базе Linux, которая может шифровать виртуальные серверы VMware ESXi, которые широко используются в корпоративных средах для целей управления ресурсами.
Сегодняшнее информационное сообщение предупреждает, что, в отличие от других программ-вымогателей, которые шифруют резервные хранилища данных и устройства, банда BlackMatter стирает или переформатирует их.
Обнаружение и защита
На основе идентифицированных TTP, связанных с программой-вымогателем BlackMatter, три агентства создали сигнатуры для системы обнаружения и предотвращения вторжений Snort с открытым исходным кодом, которая может предупреждать об инициации процесса удаленного шифрования.
Чтобы противостоять атакам BlackMatter, CISA, ФБР и АНБ совместно используют набор мер кибербезопасности, которые начинаются с базовой политики паролей и переходят к смягчениям, призванным минимизировать поверхность атаки Active Directory.
Помимо использования правил в Snort, указанных выше, агентства рекомендуют использовать надежные уникальные пароли для различных учетных записей, таких как администраторы, администраторы служб и доменов.
Многофакторная аутентификация должна быть активна для всех служб, поддерживающих эту функцию. Это требование особенно важно для веб-почты, виртуальных частных сетей и учетных записей, которые имеют доступ к критически важным системам.
Своевременная установка исправлений безопасности остается «одним из наиболее эффективных и рентабельных шагов, которые организация может предпринять для минимизации своей подверженности угрозам кибербезопасности».
Дополнительные рекомендации по смягчению последствий в рекомендации относятся к следующему:
ограничить доступ к ресурсам по сети для необходимых служб и учетных записей пользователей
сегментация сети и мониторинг обхода, чтобы затруднить видимость и отображение сети, а также узнать о необычной активности, указывающей на боковое движение
доступ на временной основе для учетных записей с правами администратора и выше в течение ограниченного периода времени, необходимого для выполнения задачи
отключите действия и разрешения командной строки и сценариев, чтобы предотвратить эскалацию привилегий и боковое перемещение
регулярно поддерживать автономные резервные копии, которые являются зашифрованными и неизменяемыми - его нельзя изменить, так называемое запоминающее устройство с функцией однократной записи и многократного чтения (WORM)
Для критически важных инфраструктурных организаций CISA, ФБР и АНБ выпустили специальный набор дополнительных мер, которым следует уделять приоритетное внимание:
Отключить хранение паролей в открытом виде в памяти LSASS.
Рассмотрите возможность отключения или ограничения New Technology Local Area Network Manager (NTLM) и аутентификации WDigest.
Внедрите Credential Guard для Windows 10 и Server 2016. Для Windows Server 2012R2 включите Protected Process Light для Local Security Authority (LSA)
Сведите к минимуму поверхность атаки AD, чтобы снизить активность по выдаче злонамеренных билетов. Вредоносная деятельность, такая как Kerberoasting, использует преимущества службы предоставления билетов Kerberos и может использоваться для получения хешированных учетных данных, которые злоумышленники пытаются взломать.
Ransomware продолжают оставаться наиболее прибыльным методом монетизации несанкционированного доступа к взломанным сетям. Это самая большая угроза для организаций частного и государственного секторов, больших и малых. За последние три года мы стали свидетелями сотен больниц, пострадавших от Ransomware, а также других организаций сектора критической инфраструктуры, таких как Colonial Pipeline или JBS food. Чтобы замедлить рост эпидемии Ransomware требуется комплексный подход. Хотя это включает в себя аресты, действия против незаконных транзакций с криптовалютой, санкции или - тема этого блога - расшифровку.
Путем реверс-инжиниринга реализации шифрования, используемой вариантом Ransomware, исследователи могут использовать криптографическую уязвимость для расшифровки. Это позволяет восстанавливать файлы, не платя выкуп за ключи дешифрования. Когда группа Ransomware в конце концов понимает или узнает из публичных отчетов, что их программа шифрования имеет фундаментальные недостатки, они часто либо отказываются от нее, либо исправляют ошибку, либо начинают все заново, проводя ребрендинг.
Ниже описаны четыре сценария расшифровки вариантов Ransomware:
Сценарий 1
Исследователь выясняет, как расшифровать вариант ransomware
Брешь в программе-вымогателе публично раскрывается с помощью бесплатного инструмента дешифрования.
Жертвы могут восстанавливать файлы, заблокированные программой шифрования с уязвимостью шифрования.
Злоумышленники заметили ошибку и исправили проблему (иногда менее чем за 24 часа).
Кибергруппы продолжает атаки шифрования с исправленной уязвимостью.
Сценарий 2
Исследователь выясняет, как расшифровать вариант программы-вымогателя
Они информируют LEA, IR-фирмы, переговорщиков, CERT, ISAC или другие НПО.
Используя эти возможности для обмена разведданными, инструмент дешифрования вымогателя может быть передан жертвам, которые могут восстановить свои файлы, не платя выкуп.
Кибергруппы теряет деньги, которые они получили бы от жертвы за ключи дешифрования.
В конце концов, злоумышленники могут понять, что небольшой процент жертв платят выкуп за ключи дешифрования.
Если кибергруппа исправит проблему с шифрованием, инструмент дешифрования может быть выпущен публично.
Сценарий 3
Кибергруппа разоряется или уходит в отставку и решает бесплатно выпустить ключи дешифрования для всех жертв.
Исследователи создают общедоступный и бесплатный инструмент дешифрования с использованием ключей.
Жертвы, зашифрованные Ransomware, могут восстанавливать заблокированные файлы.
Сценарий 4
Организация-жертва поражена программой-вымогателем
Кибергруппа какое-то время находится внутри сети и имеет доступ к коммуникациям внутри организации-жертвы.
Жертва обращается в IR-фирму, чтобы отреагировать на атаку программы-вымогателя.
IR-фирма сообщила жертве, что вымогатель можно расшифровать.
Кибергруппа, которая все еще находится в сети, может перехватывать сообщения между жертвой и IR-фирмой.
Кибергруппа узнает, что доступен секретный инструмент дешифрования, поэтому они выясняют проблему и исправляют ее.
Инструмент дешифрования стал общедоступным.
Кибергруппа продолжает кампании, не беспокоясь об инструменте дешифрования, предотвращающем получение выкупа (если в программе-вымогателе нет нескольких уязвимостей).
Сценарий 5
Третья сторона (агентство LEA или иное) получает ключи дешифрования с помощью запрета.
Выпущен общедоступный и бесплатный инструмент дешифрования с использованием готовых ключей дешифрования.
Жертвы, зашифрованные программой-вымогателем, могут восстанавливать заблокированные файлы.
Случаи из реального мира
В октябре 2019 года жертвы атак программ-вымогателей Nemty могли радоваться после того, как исследователи успешно реконструировали три версии вредоносного ПО и смогли расшифровать заблокированные файлы. Спустя несколько месяцев операторы Nemty решили закрыть Ransomware-as-a-Service (RaaS) в апреле 2020 года. В сообщении на форуме по борьбе с киберпреступностью операторы Nemty заявили, что они закрываются и становятся частными. Несмотря на победу над Nemty, разработчики шифратора позже вернулись с новым вариантом, названным Nefilim, для атак против крупных организаций. Для Nefilim не было предоставлено никаких дешифраторов, и новые исследования показывают, что операторы вымогателей с тех пор снова переименовались в вымогателей Karma.
В январе 2021 года одна группа исследователей обнаружила недостаток дешифрования DarkSide и решила сделать бесплатный и общедоступный инструмент для жертв. Операторы DarkSide загрузили бесплатный инструмент и менее чем через 24 часа объявили, что устранили уязвимость в программе-вымогателе. Однако первые исследователи, возможно, не знали, но другие реверс-инженеры также знали об этой уязвимости и могли помочь жертвам с расшифровкой, без предупреждения DarkSide. К сожалению, через несколько месяцев после того, как бесплатный инструмент дешифрования был выпущен и криптографическая ошибка была исправлена, DarkSide ударил по Colonial Pipeline, вызвав топливный кризис в США. Потенциально мог существовать сценарий, при котором, если бы инструмент дешифрования не был обнародован в то время, исследователи могли бы помочь ФБР расшифровать DarkSide без уплаты выкупа, предотвратив топливный кризис.
В июне 2021 года группа, стоящая за платформой Avaddon RaaS, прекратила работу и выпустила 2,934 ключа дешифрования, каждый из которых, как сообщается, соответствует определенной жертве. Однако это число намного превышает количество жертв, просочившихся на сайт утечки даркнета Avaddon - более 180 (источник).
Непонятно, почему Avaddon закрыл магазин, но нередко группы программ-вымогателей внезапно останавливают кампании (см. MAZE, Egregor, GandCrab).
Количество ключей по сравнению с количеством жертв, просочившихся на сайт Avaddon Tor, также указывает на то, что наша видимость кампаний с программами-вымогателями туманна. Каждая из 40 (или около того) групп, у которых есть блог об утечках в даркнете, также, вероятно, запускает гораздо более крупные кампании, чем количество утечек.
В июле 2021 года инструмент удаленного мониторинга и управления (RMM) Kaseya VSA, используемый десятками MSP по всему миру, подвергся атаке с использованием программ-вымогателей. Злоумышленники, известные как REvil (или Sodinokibi), ответственные за атаку, потребовали выкуп в размере 70 миллионов долларов, но исчезли вскоре после объявления на их сайте утечки даркнета Happy Blog. Позже в прессе стало известно, что ФБР, по сообщениям, взломало серверы группы, украло главные ключи, смогло расшифровать всех жертв атаки Касеи, а также тех, кто был до нее. Однако REvil каким-то образом выяснил, что в системе есть злоумышленники, и исчез. К сожалению, у ФБР (которое пыталось нарушить или потенциально поймать REvil) в настоящее время возникают проблемы с законом из-за того, что после атаки Kaseya на срок до трех недель у него остались главные ключи, что привело к серьезным нарушениям работы MSP и их клиентов во всем мире. Расшифровщик версий REvil до атаки Kaseya с тех пор стал общедоступным.
Жертвам BlackMatter незаметно помогли с помощью секретного дешифратора
Фирма по кибербезопасности Emsisoft с этого лета тайно расшифровывает жертв BlackMatter, экономя жертвам миллионы долларов.
Emsisoft и ее технический директор Фабиан Восар помогают жертвам программ-вымогателей восстанавливать свои файлы с 2012 года, когда была запущена операция под названием ACCDFISA как первая современная программа-вымогатель.
С тех пор Восар и другие неустанно работают над поиском недостатков в алгоритмах шифрования программ-вымогателей, которые позволяют создавать дешифраторы.
Тем не менее, чтобы помешать кибергруппам исправить эти недостатки, Emsisoft незаметно работает с доверенными партнерами в правоохранительных органах и реагировании на инциденты, чтобы делиться новостями об этих дешифраторах, а не делать их общедоступными.
Секретный дешифратор BlackMatter
Вскоре после запуска программы BlackMatter Emsisoft обнаружила уязвимость, позволившую им создать дешифратор для восстановления файлов жертвы без уплаты выкупа.
Emsisoft немедленно уведомила правоохранительные органы, фирмы, ведущие переговоры о программах-вымогателях, фирмы по реагированию на инциденты, CERTS по всему миру и доверенных партнеров, предоставив информацию о дешифраторе.
Это позволило этим доверенным сторонам направлять жертв BlackMatter в Emsisoft для восстановления их файлов, а не платить выкуп.
«С тех пор мы были заняты тем, что помогали жертвам BlackMatter восстановить свои данные. С помощью правоохранительных органов, CERT и партнеров из частного сектора во многих странах мы смогли связаться с многочисленными жертвами, помогая им избежать требований на десятки миллионов долларов. , "объясняет Восар в своем блоге о дешифраторе BlackMatter.
Emsisoft также связывалась с жертвами, найденными с помощью образцов BlackMatter и записок о выкупе, публично загруженных на различные сайты.
Когда образцы BlackMatter становятся общедоступными, можно было извлечь записку о выкупе и получить доступ к переговорам между жертвой и кибергпуппой. После идентификации жертвы Emsisoft в частном порядке связывался с ними по поводу дешифратора, чтобы они не платили выкуп.
Когда жертвы начали отказываться платить, BlackMatter становился все более подозрительным к участников переговоров о программах-вымогателях.
Все хорошее когда-нибудь заканчивается
К сожалению, BlackMatter узнал о дешифраторе в конце сентября и смог исправить ошибки, позволившие Emsisoft расшифровать файлы жертв.
«Один из способов, которым BlackMatter мог узнать о существовании уязвимости, - это мониторинг сетей и сообщений компании после нарушения связи. Вот почему мы всегда рекомендуем жертвам переключаться на безопасный канал связи, например, в специальную группу Signal, также убедитесь, что ни одна из скомпрометированных сетей не участвует в общих процессах восстановления, - сказал Восар
Тем жертвам, которые были зашифрованы до конца сентября, Emsisoft все еще может помочь с помощью службы восстановления программ-вымогателей.
Ранее в этом году исследователи Emsisoft обнаружили критическую уязвимость в программе-вымогателе BlackMatter, которая позволяла им помогать жертвам восстанавливать свои файлы без уплаты выкупа, предотвращая попадание миллионов долларов в руки киберпреступников. Работа велась тихо и конфиденциально, чтобы не предупредить операторов BlackMatter об ошибке.
За последнее десятилетие Emsisoft посвятила себя глобальной борьбе с шифраторами. Мы не только создали инструменты дешифрования, которые помогли более чем 6 миллионам жертв восстановить свои данные без уплаты выкупа, но также создали уникальную службу, которая помогает жертвам программ-вымогателей, которые заплатили выкуп, восстанавливать данные более эффективно.
За это время мы стали свидетелями появления и исчезновения многочисленных кибергрупп.
Возможно, самая распространенная причина - это финансовое удовлетворение. Злоумышленники проводят успешную кампанию, зарабатывают достаточно денег, чтобы их участники могли комфортно уйти на покой и прекратить свою деятельность. В других ситуациях выход больше связан с самосохранением, когда злоумышленники уходят из игры с программами-вымогателями после того, как привлекли слишком много нежелательного внимания.
Для предшественника BlackMatter, DarkSide, это был последний случай.
Краткая история
DarkSide был крупным игроком на рынке программ-вымогателей как услуги с августа 2020 года и в целом ориентировался на крупные организации частного сектора, которые могли позволить себе семизначные требования выкупа. Это была одна из самых активных группировок до начала мая 2021 года, когда кибергруппа атаковала крупнейшую систему трубопроводов для нефтепродуктов в США: Colonial Pipeline. Атака, которая привела к нехватке топлива и вынудила некоторые авиакомпании перенести рейсы, повлияла на повседневную жизнь миллионов людей на восточном побережье, привлекая большое внимание прессы, а также вызвав гнев властей США.
Ответные меры США были быстрыми. В считанные дни DarkSide потеряла контроль над частью своей критически важной инфраструктуры, включая биткойн-кошельки, содержащие выкуп в размере 4,4 миллиона долларов, который Colonial Pipeline поспешно заплатил в надежде быстро вернуться в рабочее состояние. Чувствуя давление, DarkSide ушел в тень - до конца июля 2021 года.
21 июля 2021 года на популярном андеграундном форуме появился новый пост пользователя BlackMatter:
Рекламодатель искал сторонников, которые могли бы предоставить доступ к корпоративным сетям компаний с годовым доходом более 100000000 долларов. Это обычная практика для операций «программа-вымогатель как услуга», когда различные аспекты атаки обычно передаются на аутсорсинг другим, более специализированным группам или отдельным лицам.
Вскоре после этого, 27 июля 2021 года, стало очевидно, кто был создатель этого загадочного объявления и почему они были готовы приобрести доступ к корпоративным сетям, когда в темной сети был обнаружен новый сайт утечки: BlackMatter Ransomware.
Одним из наиболее интересных аспектов сайта утечки BlackMatter является список запрещенных целей, которые не должны подвергаться атакам со стороны любого филиала BlackMatter. Отрасли в этом списке в значительной степени отражают отрасли, которые США определяют как критически важную инфраструктуру - те же отрасли, в которых в первую очередь возникли проблемы с DarkSide, и те отрасли, которые президент США Джо Байден объявил закрытыми для злонамеренной киберактивности в закрытая встреча с президентом России Владимиром Путиным в июне 2021 года. Но BlackMatter не собиралась и не собирается придерживаться своих собственных правил. С момента открытия места утечки кибергруппа атаковала критически важные объекты инфраструктуры США, включая центры анализа крови и организации в продовольственном и сельскохозяйственном секторе.
Когда 31 июля 2021 года мы впервые получили в руки реальную полезную нагрузку BlackMatter, первоначальные слухи о том, что BlackMatter может быть перерисовкой операции DarkSide, быстро подтвердились. Самая первая версия BlackMatter оказалась почти идентичной последней версии DarkSide, с той лишь разницей, что были незначительные дополнительные улучшения. За этой первой версией быстро последовало несколько новых итераций полезной нагрузки BlackMatter, и на момент написания последний внутренний номер версии полезной нагрузки достиг 2.0.
Повторение прошлых ошибок
Первоначальный запуск DarkSide не был безупречным. Например, 12 декабря 2020 года исследователи Emsisoft заметили ошибку, допущенную операторами DarkSide, которая позволила нам расшифровать данные, зашифрованные версией программы-вымогателя для Windows, без необходимости уплаты выкупа. Эту брешь кибергруппа исправила 12 января 2021 года. (p.s. после того как Bitdefender выпустил дешифратор, и и злоумышленники после этого внесли исправление в работу)
Публичное раскрытие наличия уязвимости в программе-вымогателе может предупредить злоумышленников о ее существовании, что приведет к немедленному устранению проблемы. Следовательно, в случае с кибергруппами, которые мы считаем технически сложными, такими как DarkSide / BlackMatter, мы не объявляем публично и не раскрываем наличие уязвимостей. Вместо этого мы сообщаем о наших возможностях дешифрования конфиденциально через сеть правоохранительных органов и доверенных лиц.
Зная прошлые ошибки DarkSide, мы были удивлены, когда BlackMatter представила изменение в своей полезной нагрузке ransomware, что позволило нам снова восстановить данные жертв без необходимости платить выкуп. Как только нам стало известно об ошибке, мы незаметно обратились к нашим партнерам, которые затем помогли нам охватить как можно больше жертв, прежде чем они заплатили выкуп BlackMatter.
С тех пор мы были заняты тем, что помогаем жертвам BlackMatter восстановить свои данные. С помощью правоохранительных органов, CERT и партнеров из частного сектора во многих странах мы смогли связаться с многочисленными жертвами, помогая им избежать требований на десятки миллионов долларов.
Однако не все шло гладко. Одна из самых больших проблем, с которыми мы столкнулись во время работы, связана с социальными сетями и Twitter в частности. Во время одного из наиболее громких инцидентов с BlackMatter в сентябре 2021 года произошла утечка информации о выкупе. Записки о выкупе, включая BlackMatter, содержат важную информацию, предназначенную только для жертвы, в том числе инструкции о том, как связаться с злоумышленником и связаться с ним.
Широкое сообщество информационной безопасности Twitter быстро уловило утечку, заполучило частную ссылку, предназначенную только для жертвы, и начало перехватывать переговоры, которые ведутся на коммуникационной платформе BlackMatter. Вскоре и жертва, и операторы BlackMatter столкнулись с массой оскорблений и троллинга. Кроме того, были сделаны скриншоты разговоров и распространены в сообществе Twitter, что побудило еще больше людей присоединиться к «веселью», быстро сорвав любой сбор разведывательной информации правоохранительными органами и исследователями безопасности в этом процессе.
Мы боремся с шифраторами более десяти лет, поэтому мы лучше, чем кто-либо, понимаем разочарование, которое сообщество информационных систем испытывает по отношению к злоумышленникам. Однако это привело к тому, что BlackMatter заблокировал их платформу и заблокировал нас и всех остальных в процессе.
Неизбежный конец
Читая этот пост, вы могли догадываться, к чему все это идет. В конце концов, если бы BlackMatter не догадались сами, что что-то не так, мы бы продолжили нашу работу в молчании. Но, к сожалению, несколько недель назад BlackMatter выпустила обновление, в котором исправлена ошибка, которую мы использовали для помощи жертвам.
Однако то, что эта конкретная уязвимость исчерпала себя, не означает, что наша работа завершена.
Программа-вымогатель Hive теперь шифрует системы Linux и FreeBSD
Группа вымогателей Hive теперь также шифрует Linux и FreeBSD, используя новые варианты вредоносного ПО, специально разработанные для этих платформ.
Однако, как обнаружила словацкая компания по обеспечению безопасности в Интернете ESET, новые шифраторы Hive все еще находятся в разработке и по-прежнему не имеют функциональности.
Вариант Linux также оказался довольно глючным во время анализа ESET: шифрование полностью отказывалось, когда вредоносная программа запускалась с явным путем.
Он также поддерживает единственный параметр командной строки (-no-wipe). Напротив, программа-вымогатель Hive для Windows предлагает до 5 вариантов выполнения, включая завершение процессов и пропуск очистки диска, неинтересные файлы и старые файлы.
Версия программы-вымогателя для Linux также не запускает шифрование, если выполняется без привилегий root, поскольку она пытается сбросить записку о выкупе в корневых файловых системах скомпрометированных устройств.
«Как и в версии для Windows, эти варианты написаны на Golang, но строки, имена пакетов и имена функций были запутаны, вероятно, с помощью gobfuscate», - сказали в исследовательской лаборатории ESET.
Программы-вымогатели теперь заинтересованы в серверах Linux
Группа вымогателей Hive, действующая как минимум с июня 2021 года, уже поразила более 30 организаций, считая только жертв, которые отказались платить выкуп.
Это всего лишь одна из многих группировок программ-вымогателей, которые начали атаковать серверы Linux после того, как их корпоративные цели постепенно перешли на виртуальные машины для упрощения управления устройствами и более эффективного использования ресурсов.
Ориентируясь на виртуальные машины, операторы программ-вымогателей также могут зашифровать несколько серверов одновременно с помощью одной команды.
В июне исследователи заметили новый шифровальщик Linux-вымогателей REvil, предназначенный для виртуальных машин VMware ESXi, популярной корпоративной платформы виртуальных машин.
Технический директор Emsisoft Фабиан Восар сообщил BleepingComputer, что другие группы программ-вымогателей, такие как Babuk, RansomExx / Defray, Mespinoza, GoGoogle, DarkSide и Hellokitty, также создали свои собственные шифраторы для Linux.
«Причина, по которой большинство групп программ-вымогателей внедрили версию своих программ-вымогателей на базе Linux, состоит в том, чтобы нацеливаться именно на ESXi, - сказал Восар.
Шифровальщики-вымогатели HelloKitty и BlackMatter для Linux были позже обнаружены в дикой природе исследователями безопасности в июле и августе, что подтверждает заявление Восара.
Через месяц было обнаружено, что некоторые из этих вредоносных программ Linux также содержат ошибки и могут повредить файлы жертв во время шифрования.
В прошлом вымогатели Snatch и PureLocker также использовали в своих атаках варианты Linux.
BlackMatter утверждает, что закрывается из-за давления полиции
BlackMatter прекращает свою работу из-за давления со стороны властей и недавних операций правоохранительных органов.
BlackMatter управляет частным веб-сайтом программы-вымогателя как услуги (RaaS), который аффилированные лица могут использовать для связи с основными операторами, открытия заявок в службу поддержки и получения новых сборок программ-вымогателей.
Сегодня исследовательской группе по безопасности VX-Underground был отправлен снимок экрана с сообщением, якобы опубликованным операторами BlackMatter 1 ноября на веб-сайте RaaS. Этот пост предупреждает аффилированные лица, что операция вымогателя прекратится через 48 часов.
«В связи с определенными неразрешимыми обстоятельствами, связанными с давлением со стороны властей (часть команды больше не доступна, после последних новостей) - проект закрыт.
Через 48 часов вся инфраструктура будет отключена, разрешено:
* Отправьте письмо компаниям для дальнейшего общения
* Получить дешифратор. Для этого в корпоративном чате напишите «дать расшифровщик» там, где это необходимо.
Желаем всем успехов, мы были рады работать ».
Еще неизвестно, закрывается ли BlackMatter, поскольку с момента предупреждения аффилированным лицам прошло более 48 часов, а сайт оплаты Tor и сайт утечка данных группы продолжают работать.
Скорее всего, он будет переименован в новую программу-вымогатель
Однако, даже если BlackMatter прекратит работу, мы, скорее всего, увидим их возвращение в качестве другой группы в будущем.
Когда кибергруппы ощущают давление со стороны правоохранительных органов или нацелены на очень чувствительную организацию, они обычно прекращают свою деятельность и перезапускают ее под новым именем.
BlackMatter уже является ребрендингом операции DarkSide, которая закрылась после атаки на Колониальный трубопровод и ощущения полного давления со стороны международных правоохранительных органов.
Другие операции с программами-вымогателями, которые в прошлом подвергались ребрендингу, включают:
REvil to GandCrab
Maze to Egregor
Bitpaymer to DoppelPaymer to Grief
Nemty to Nefilim to Karma
Это только вопрос времени, когда операторы BlackMatter перезапустятся под другим именем.
BlackMatter перемещает жертв на LockBit после завершения работы
После завершения работы Blackmatter Ransomware существующие филиалы перемещают свои жертвы на конкурирующий сайт Lockbit Ransomware для продолжения вымогательства.
В рамках этого отключения операторы Ransomware позволяют филиалам получать дешифры для существующих переговоров, чтобы они могли продолжать вымогательство.
В то время как инфраструктура Blackmatter по-прежнему живут, стало известно, что филиалы перемещают существующие жертвы на площадку переговоров Lockbit Ransomware.
В существующих чатах переговоров Blackmatter филиалы предоставляют жертвам ссылки на сайты TOR Lockbit, где для них новые страницы переговоров были настроенными для них.
На этих страницах переговоров Lockbit, филиалы Blackmatter продолжают договариваться с жертвами для получения выплаты выкупа.
После завершения рабты Revil и Blackmatter, Lockbit стал одним из крупнейших и самых успешных операций с вымогателем, работающим сегодня.
В то время как Blackmatter, скорее всего, будет ребрендом и вернуться в качестве новой операции по выпуску, их партнерство с Lockbit может причинить им боль в долгосрочной перспективе, поскольку они теряют опытные филиалы.
Magniber теперь использует уязвимости Internet Explorer в атаках
Magniber теперь использует две уязвимости Internet Explorer и вредоносную рекламу, чтобы заразить пользователей и зашифровать их устройства.
Две уязвимости Internet Explorer отслеживаются как CVE-2021-26411 и CVE-2021-40444, причем обе имеют оценку серьезности CVSS v3 8,8.
Первый, CVE-2021-26411, был исправлен в марте 2021 года и представляет собой ошибку повреждения памяти, вызванную просмотром специально созданного веб-сайта.
Второй недостаток, CVE-2021-40444, - это удаленное выполнение кода в механизме рендеринга IE, вызванное открытием вредоносного документа.
Злоумышленники использовали CVE-2021-40444 как нулевой день до того, как Microsoft исправила его в сентябре 2021 года.
Magniber смещения фокуса
кибергруппа Magniber известна тем, что использует уязвимости для взлома систем и развертывания их программ-вымогателей.
В августе было замечено, что Magniber использует уязвимости PrintNightmare для взлома серверов Windows, на устранение которых Microsoft потребовалось некоторое время из-за их воздействия на печать.
Последняя деятельность Magniber направлена на использование уязвимостей Internet Explorer с помощью вредоносной рекламы, распространяющей наборы эксплойтов, как подтвердили исследователи Tencent Security, выявившие «свежие» полезные нагрузки.
Одним из возможных объяснений этого сдвига является то, что Microsoft в значительной степени устранила уязвимости PrintNightmare за последние четыре месяца и широко освещалась в средствах массовой информации, вынуждая администраторов развертывать обновления безопасности.
Другая причина, по которой Magniber, возможно, обратился к недостаткам Internet Explorer, заключается в том, что их относительно легко активировать, полагаясь исключительно на стимулирование любопытства получателя открыть файл или веб-страницу.
Может показаться странным нацеливаться на старый непопулярный браузер, такой как Internet Explorer. Однако StatCounter показывает, что 1,15% глобальных просмотров страниц по-прежнему происходят из IE.
Хотя это низкий процент, StatCounter отслеживает более 10 миллиардов просмотров страниц в месяц, что соответствует 115 000 000 просмотров страниц пользователями Internet Explorer.
Кроме того, гораздо сложнее настроить таргетинг на браузеры на базе Firefox и Chromium, такие как Google Chrome и Microsoft Edge, поскольку они используют механизм автоматического обновления, который быстро защищает пользователей от известных уязвимостей.
Угроза для азиатских фирм
Magniber начал свою деятельность в 2017 году как преемник программы-вымогателя Cerber и первоначально заражал только пользователей из Южной Кореи.
Затем группа расширила сферу охвата и начала заражать китайские (включая Тайвань и Гонконг), сингапурские и малайзийские системы.
Эта область применения укрепилась, и сегодня Magniber доставляет неудобства почти исключительно азиатским компаниям и организациям.
С момента своего запуска программа-вымогатель Magniber находилась в стадии очень активной разработки, и ее полезная нагрузка была полностью переписана три раза.
В настоящее время он остается не взломанным, поэтому нет дешифратора, который помог бы вам восстановить файлы, зашифрованные с помощью этого штамма.
Наконец, Magniber не следует тенденции кражи файлов и двойного вымогательства, поэтому ущерб от их атак ограничивается шифрованием файлов.
Таким образом, регулярное резервное копирование в защищенных изолированных системах - очень эффективный способ борьбы с этой конкретной угрозой.
ALPHV BlackCat - самая сложная программа-вымогатель в этом году
Новая программа-вымогатель ALPHV, известная как BlackCat, была запущена в прошлом месяце и может стать самой сложной программой-вымогателем года с настраиваемым набором функций, позволяющим атаковать широкий спектр корпоративных сред.
Исполняемый файл программы-вымогателя написан на Rust, что нетипично для разработчиков вредоносных программ, но постепенно набирает популярность из-за его высокой производительности и безопасности памяти.
Команда MalwareHunterTeam обнаружила новую программу-вымогатель и сообщила BleepingComputer, что первая отправка идентификатора программы-вымогателя для новой операции была 21 ноября.
Программа-вымогатель названа разработчиками ALPHV и продвигается на русскоязычных хакерских форумах.
Команда MalwareHunterTeam назвала программу-вымогатель BlackCat из-за того, что на сайте оплаты Tor каждой жертвы используется один и тот же значок черного кота, а на сайте утечки данных используется кровавый кинжал, показанный ниже.
Как и все операции с программой-вымогателем как услуга (RaaS), операторы ALPHV BlackCat нанимают партнеров для выполнения корпоративных взломов и шифрования устройств.
В свою очередь, аффилированные лица будут получать различные доли дохода в зависимости от размера выкупа. Например, при выплатах выкупа до 1,5 миллиона долларов партнерская программа зарабатывает 80%, 85% - до 3 миллионов долларов и 90% выплат более 3 миллионов долларов.
Изучение возможностей программы-вымогателя ALPHV BlackCat
Программа-вымогатель ALPHV BlackCat включает в себя множество расширенных функций, которые выделяют ее среди других программ-вымогателей. В этом разделе мы рассмотрим программу-вымогатель и то, как она работает, а также продемонстрируем тестовое шифрование из образца, предоставленного BleepingComputer.
Программа-вымогатель полностью управляется из командной строки, управляется человеком и имеет широкие возможности настройки, с возможностью использовать различные процедуры шифрования, распространяться между компьютерами, уничтожать виртуальные машины и виртуальные машины ESXi, а также автоматически стирать моментальные снимки ESXi для предотвращения восстановления.
Эти настраиваемые параметры можно найти с помощью аргумента командной строки --help, показанного ниже.
Каждый исполняемый файл программы-вымогателя ALPHV включает конфигурацию JSON, которая позволяет настраивать расширения, примечания к выкупу, способ шифрования данных, исключенные папки / файлы / расширения, а также службы и процессы, которые должны автоматически завершаться.
По словам злоумышленника, программа-вымогатель может быть настроена для использования четырех различных режимов шифрования, как описано в их сообщении о найме на хакерском форуме даркнета.
Программа написана с нуля без использования каких-либо шаблонов или ранее утекших исходных кодов других программ-вымогателей. На выбор предлагается:
4 режима шифрования:
-Full - полное шифрование файлов. Самый безопасный и самый медленный.
-Fast - шифрование первых N мегабайт. Не рекомендуется к использованию, самое опасное из возможных решений, но самое быстрое.
-DotPattern - шифрование N мегабайт через M шаг. При неправильной настройке Fast может работать хуже как по скорости, так и по криптостойкости.
-Авто. В зависимости от типа и размера файла шкафчик (как на windows, так и на * nix / esxi) выбирает наиболее оптимальную (с точки зрения скорости / безопасности) стратегию обработки файлов.
-SmartPattern - шифрование N мегабайт с шагом в процентах. По умолчанию он шифрует 10 мегабайт каждые 10% файла, начиная с заголовка. Самый оптимальный режим по соотношению скорость / криптостойкость.
2 алгоритма шифрования:
-ChaCha20
-AES
В автоматическом режиме программа определяет наличие аппаратной поддержки AES (есть во всех современных процессорах) и использует ее. Если нет поддержки AES, программа шифрует файлы ChaCha20.
В ALPHV BlackCat также можно настроить учетные данные домена, которые можно использовать для распространения программ-вымогателей и шифрования других устройств в сети. Затем исполняемый файл извлечет PSExec в папку% Temp% и использует его для копирования программы-вымогателя на другие устройства в сети и выполнит ее для шифрования удаленного компьютера с Windows.
При запуске программы-вымогателя партнер может использовать консольный пользовательский интерфейс, который позволяет им отслеживать развитие атаки. На изображении ниже вы можете увидеть этот интерфейс, отображаемый, когда BleepingComputer зашифровал тестовое устройство, используя модифицированный исполняемый файл для добавления расширения .bleepin.
В примере, протестированном BleepingComputer, программа-вымогатель завершает процессы и службы Windows, которые могут предотвратить шифрование файлов. Эти завершенные процессы включают Veeam, программное обеспечение для резервного копирования, серверы баз данных, Microsoft Exchange, приложения Office, почтовые клиенты и процесс Steam, чтобы игроки не уходили.
Другие действия, предпринятые во время этого процесса «установки», включают очистку корзины, удаление теневых копий тома, сканирование других сетевых устройств и подключение к кластеру Microsoft, если таковой существует.
ALPHV BlackCat также использует API диспетчера перезапуска Windows для закрытия процессов или завершения работы служб Windows, сохраняя файл открытым во время шифрования.
Обычно при шифровании устройства программа-вымогатель использует случайное расширение имени, которое добавляется ко всем файлам и включается в записку о выкупе. Заметки о выкупе называются в формате «RECOVER- [extension] -FILES.txt», который в нашем примере выше - RECOVER-bleepin-FILES.txt.
Заметки о выкупе предварительно настраиваются аффилированным лицом, выполняющим атаку, и различаются для каждой жертвы. Некоторые примечания о выкупе включают типы украденных данных и ссылку на сайт утечки данных Tor, где жертвы могут предварительно просмотреть украденные данные.
У каждой жертвы также есть уникальный сайт Tor, а иногда и уникальный сайт утечки данных, что позволяет аффилированному лицу вести свои собственные переговоры.
Наконец, BlackCat утверждает, что он кроссплатформенный и поддерживает несколько операционных систем.
Кросс-платформенное программное обеспечение, т.е. если вы смонтируете диски Windows в Linux или наоборот, дешифратор сможет расшифровать файлы. - Оператор ALPHV.
Ниже приведены операционные системы, на которых злоумышленники якобы тестировали свои программы-вымогатели:
Вся линейка Windows от 7 и выше (проверено на 7, 8.1, 10, 11; 2008r2, 2012, 2016, 2019, 2022); XP и 2003 могут быть зашифрованы через SMB.
ESXI (проверено на 5.5, 6.5, 7.0.2u)
Debian (проверено на 7, 8, 9);
Ubuntu (проверено 18.04, 20.04)
ReadyNAS, Synology
Эксперт по программам-вымогателям и создатель ID Ransomware Майкл Гиллеспи проанализировал процедуру шифрования, используемую программой-вымогателем, и, к сожалению, не смог найти никаких слабых мест, которые могли бы позволить бесплатное дешифрование.
Функция токена доступа делает переговоры секретными
Давняя проблема, затрагивающая как жертв, так и операции программ-вымогателей, заключается в том, что образцы обычно просачиваются через сайты анализа вредоносных программ, обеспечивая полный доступ к переговорному чату между кибергруппой и их жертвой.
Чтобы этого не произошло, разработчики программы-вымогателя ALPHV BlackCat ввели аргумент командной строки --access-token = [access_token], который необходимо использовать при запуске шифровальщика.
Этот токен доступа используется для создания ключа доступа, необходимого для входа в переговорный чат на платежном сайте Tor. Поскольку этот токен не включен в образец вредоносного ПО, даже если он загружен на сайт анализа вредоносных программ, исследователи не смогут использовать его для доступа к сайту переговоров без уведомления о выкупе от фактической атаки.
Как и другие новые кибергруппы, ALPHV использует тактику тройного вымогательства, когда они крадут данные перед шифрованием устройств и угрожают опубликовать данные, если выкуп не уплачен.
В качестве дополнительного метода вымогательства злоумышленники угрожают жертвам DDoS до тех пор, пока они не заплатят выкуп.
В целом, это очень сложная программа-вымогатель, в которой злоумышленники четко учитывают все аспекты атак.
Когда операции вымогателей BlackMatter и REvil были прекращены под давлением правоохранительных органов, образовалась большая пустота, ожидающая, пока другой злоумышленник заполнит ее.
Очень вероятно, что у ALPHV BlackCat есть хорошие шансы его заполнить.
AvosLocker перезагружается в безопасном режиме, чтобы обойти инструменты безопасности
В ходе недавних атак AvosLocker сосредоточилась на отключении стоящих у них на пути решений безопасности конечных точек, перезагружая скомпрометированные системы в безопасном режиме Windows.
Эта тактика упрощает шифрование файлов жертв, поскольку большинство решений безопасности автоматически отключается после загрузки устройств Windows в безопасном режиме.
И их новый подход оказался весьма эффективным, поскольку количество атак, приписываемых конкретной группе, растет.
Шифрование в «безопасном режиме»
Согласно отчету главного исследователя SophosLabs Эндрю Брандта, операторы AvosLocker используют PDQ Deploy, законный инструмент развертывания для автоматизации управления исправлениями, чтобы разместить несколько пакетных сценариев Windows на целевой машине, что помогает им подготовить почву для атаки.
Эти сценарии изменяют или удаляют ключи реестра, принадлежащие определенным инструментам безопасности конечных точек, включая Защитник Windows и продукты от Kaspersky, Carbon Black, Trend Micro, Symantec, Bitdefender и Cylance.
Сценарии также создают новую учетную запись пользователя на скомпрометированной машине, называя ее «newadmin» и добавляя ее в группу пользователей «Администраторы».
Затем они настраивают эту учетную запись для автоматического входа в систему при перезагрузке системы в безопасном режиме с подключением к сети и отключают разделы реестра диалогового окна «Правовое уведомление», которые могут помешать автоматическому входу.
Наконец, скрипты выполняют команду перезагрузки, которая переводит компьютер в безопасный режим. Когда он снова заработает, полезная нагрузка программы-вымогателя запускается из местоположения контроллера домена.
Если автоматический процесс выполнения полезной нагрузки завершается неудачно, субъект может взять на себя ручное управление процедурой с помощью инструмента удаленного доступа AnyDesk.
«Предпоследним шагом в процессе заражения является создание ключа RunOnce в реестре, который безфайлово выполняет полезную нагрузку программы-вымогателя, откуда злоумышленники поместили ее на контроллер домена», - объясняет Брандт.
«Это похоже на то, что мы видели, как IcedID и другие программы-вымогатели делают как метод выполнения полезных нагрузок вредоносных программ, не позволяя файлам когда-либо касаться файловой системы зараженного компьютера».
Безопасный режим, используемый для простого обхода безопасности конечных точек
Этот же метод выполнения в безопасном режиме ранее использовался другими группами программ-вымогателей, включая REvil (также с автоматическим входом в систему), BlackMatter и Snatch, так что это явно пробел в безопасности, который необходимо устранить.
Вся идея перевода машины в безопасный режим заключается в том, чтобы отключить все работающие инструменты безопасности, поскольку большинство решений для защиты конечных точек не работают в этом режиме.
Благодаря этому простому, но эффективному приему даже адекватно защищенные машины могут стать беззащитными от цепочек выполнения программ-вымогателей.
Чтобы избежать появления произвольных команд перезагрузки на ваших машинах, убедитесь, что ваши инструменты безопасности могут обнаруживать и предотвращать добавление подозрительных ключей реестра.
Как подчеркивает Sophos в своем отчете,
ни одно предупреждение не должно рассматриваться как «низкоприоритетное», поскольку небольшая и, казалось бы, безобидная вещь может быть ключевым звеном в цепочке выполнения программ-вымогателей.
Комментарии
Операторы REvil теперь использует шифровальщик под Linux, который нацеливается и шифрует виртуальные машины Vmware ESXi.
По мере того, как предприятия переходят на виртуальные машины для упрощения резервного копирования, управления устройствами и эффективного использования ресурсов, кибергруппы все чаще создают собственные инструменты для массового шифрования хранилищ, используемых виртуальными машинами.
В мае Елисей Богуславский из Advanced Intel поделился сообщением на форуме о работе REvil, в котором они подтвердили, что выпустили версию своего шифратора для Linux, которая также может работать на устройствах NAS.
Сегодня исследователь безопасности MalwareHunterTeam обнаружил версию вымогателя REvil для Linux (также известную как Sodinokibi), которая также нацелена на серверы ESXi.
Виталий Кремез из Advanced Intel, который проанализировал новый вариант REvil Linux, сказал BleepingComputer, что это исполняемый файл ELF64 и включает те же параметры конфигурации, что и более распространенный исполняемый файл Windows.
Кремез заявляет, что это первый известный случай, когда вариант Linux стал общедоступным с момента его выпуска.
При выполнении на сервере злоумышленник может указать путь для шифрования и включить тихий режим, как показано в приведенных ниже инструкциях по использованию.
При выполнении на серверах ESXi он запускает инструмент командной строки esxcli для вывода списка всех работающих виртуальных машин ESXi и их завершения.
Эта команда используется для закрытия файлов диска виртуальной машины (VMDK), хранящихся в папке / vmfs /, чтобы вредоносная программа-вымогатель REvil могла зашифровать файлы без их блокировки ESXi.
Как объяснил технический директор Emsisoft Фабиан Восар, если виртуальная машина не будет правильно закрыта перед шифрованием файла, это может привести к повреждению данных.
Выбирая таким образом виртуальные машины, REvil может зашифровать сразу несколько серверов с помощью одной команды.
Восар сообщил, что другие операторы программам-вымогателей, таких как Babuk, RansomExx / Defray, Mespinoza, GoGoogle, DarkSide и Hellokitty, также создали шифровальщики Linux для нацеливания на виртуальные машины ESXi.
«Причина, по которой большинство групп программ-вымогателей внедрили версию своих программ-вымогателей для Linux, состоит в том, чтобы нацеливаться именно на ESXi, - сказал Восар.
https://www.bleepingcomputer.com/news/security/revil-ransomwares-new-linux-encryptor-targets-esxi-virtual-machines/
Объявив о выходе из бизнеса программ-вымогателей в пользу вымогательства кражи данных, кибергрупаа Бабука, похоже, вернулась к своей старой привычке шифровать корпоративные сети.
Преступники в настоящее время используют новую версию своей вредоносной программы для шифрования файлов и перенесли операцию на новый сайт утечки, на котором перечислены несколько жертв.
все еще в игре
Группа Babuk стала известна в начале года, но, по словам группы, их атаки начались в середине октября 2020 года, нацелены на компании по всему миру и требуют выкупа, как правило, в размере от 60 000 до 85 000 долларов в биткойн-криптовалюте. В некоторых случаях жертв просили расшифровать данные у сотен тысяч.
Одна из их самых известных жертв - Управление столичной полиции Вашингтона (округ Колумбия). Эта атака, вероятно, подтолкнула злоумышленника к объявлению о своем уходе из бизнеса вымогателей только для того, чтобы принять другую модель вымогательства, которая не включала шифрование.
Групаа также объявила о планах выпустить свое вредоносное ПО, чтобы другие киберпреступники могли начать операцию по использованию программы-вымогателя как услуги. Злоумышленник сдержал свое обещание и опубликовал свой конструктор - инструмент, который генерирует настраиваемые программы-вымогатели.
Исследователь безопасности Кевин Бомонт нашел его на VirusTotal и поделился информацией, чтобы помочь сообществу информационных технологий в обнаружении и дешифровании.
После закрытия в апреле группа взяла название PayLoad Bin, но их сайт утечки малоактивен. Вместо этого в темной сети появился новый сайт утечки информации, содержащий маркировку программы-вымогателя Babuk.
На сайте перечислено менее пяти жертв, которые отказались платить выкуп и подверглись атаке с помощью второй версии вредоносного ПО.
Похоже, что Бабук не отказался от игры с шифрованием-вымогательством. Они выпустили только старую версию своего вредоносного ПО и создали новую, чтобы вернуться в бизнес с программами-вымогателями.
Похоже, что группа Бабука не готова отказаться от шифрования файлов и продолжит концентрироваться на корпоративных сетях для более крупных платежей.
https://www.bleepingcomputer.com/news/security/babuk-ransomware-is-back-uses-new-version-on-corporate-networks/
+
!!!! REvil Ransomware поразила сотни компаний в результате атаки цепочки поставок MSP!!!!
https://chklst.ru/discussion/1889/revil-ransomware-porazila-sotni-kompaniy-v-rezultate-ataki-cepochki-postavok-msp/
1.Рекомендации по обнаружению: отслеживайте, как WScript.exe запускает скрипты из необычных мест, выполняет процессы cmd.exe/powershell.exe или же осуществляет внешние сетевые подключения.
2. Как и многие другие операторы программ-вымогателей, партнеры REvil использовали серийное вредоносное ПО для получения первоначального доступа к целевым сетям. Двумя свежими примерами являются IcedID и Qakbot — это ПО уже давно используется в атаках, связанных с программами-вымогателями.
Рекомендации по обнаружению: отслеживайте события, связанные с созданием таких подозрительных процессов, как rundll32.exe, regsvr32.exe или mshta.exe, с помощью winword.exe или excel.exe. Обратите особое внимание на rundll32.exe и regsvr32.exe, которые запускают файлы без расширения .dll.
3. Рекомендации по обнаружению: постоянные библиотеки DLL для обоих троянов (IcedID и Qakbot) обычно находятся в подпапках профиля пользователя, поэтому вы можете обнаружить rundll32.exe или regsvr32.exe, запускающие подозрительные библиотеки DLL из таких мест.
4. Рекомендации по обнаружению: как правило, между первым успешным несанкционированным доступом и доступом, с которого начинается фактическая пост-эксплуатация, проходит некоторое время. Поэтому, если вы не используете многофакторную аутентификацию для общедоступных RDS и VPN, убедитесь, что ваша команда успешно отслеживает входы в систему из необычных мест.
5. Двумя наиболее распространенными инструментами сетевого сканирования, обнаруженными командой Group-IB в рамках реагирования на инциденты, стали Advanced IP Scanner и SoftPerfect Network Scanner. В некоторых случаях партнеры загружали эти инструменты прямо с официальных сайтов, используя взломанный хост.
Рекомендации по обнаружению: злоумышленники редко переименовывают инструменты сетевого сканирования, поэтому можно легко искать имена файлов. А если такие инструменты все-таки были переименованы, стоит сосредоточиться на названиях и описаниях продуктов, которые по-прежнему позволяют их обнаруживать.
6.Во многих случаях этап разведки включал в себя не только сетевое сканирование. Обычно партнерам приходится собирать информацию об Active Directory, поэтому, в процессе расследования довольно часто можно обнаружить свидетельства использования таких инструментов, как AdFind, ADRecon и Sharphound.
Рекомендации по обнаружению: популярные инструменты разведки Active Directory, которые обычно используются партнерами REvil, имеют очень типичные аргументы командной строки, которые можно использовать в процессе обнаружения.
7. Рекомендации по обнаружению: партнеры REvil часто используют различные встроенные инструменты для сбора информации о целевой сети. Большинство из них редко используются системными и сетевыми администраторами, поэтому обнаружить необычные процессы должно быть легко.
8. Говоря о техниках, которые партнеры REvil используют с целью избежать обнаружения, стоит отметить, что злоумышленники не пытаются отключить системы безопасности. Они предпочитают переводить их в режим "обнаружения", чтобы вредоносные инструменты не были заблокированы. Такой подход позволяет злоумышленникам использовать очень распространенные и легко обнаруживаемые средства для дампинга учетных данных, например, Mimikatz и LaZagne. В некоторых случаях преступники хотели быть более скрытными и использовали ProcDump, чтобы получить дамп процесса LSASS.
Еще один распространенный способ получения доступа к учетным данным, использованный в некоторых инцидентах, — поиск паролей в различных файлах пользователей, к примеру, в текстовых документах.
9. Злоумышленники используют самые разные инструменты пост-эксплуатации:
Cobalt Strike
Metasploit
CrackMapExec
PowerShell Empire
Impacket
Все вышеупомянутые инструменты также позволяют партнерам REvil осуществлять горизонтальное перемещение, особенно если они уже собрали учетные данные высокого порядка.
Рекомендации по обнаружению: как правило, злоумышленники не склонны прибегать к необычным техникам, когда они используют инструменты пост-эксплуатации. Поэтому если вы сосредоточитесь на обычных аргументах командной строки, типичных для Cobalt Strike, PowerShell Empire и другого вредоносного ПО, то вы, скорее всего, сумеете успешно их обнаружить.
10. Партнеры REvil печально известны тем, что успевают извлечь данные до фактического развертывания программы-вымогателя. Обычно преступники используют WinSCP. Во многих случаях они просто устанавливают его на сервер и используют протокол SMB для доступа к интересующим данным на других хостах, отправляя их на серверы, находящиеся под контролем злоумышленников.
Помимо этого, преступники используют приложения, связанные с облачным хранилищем, к примеру, MEGASync. В то же время они могут использовать веб-браузер для доступа к аналогичным облачным хранилищам и последующей кражи данных.
Рекомендации по обнаружению: отслеживайте установку необычных приложений, которые потенциально могут быть использованы для кражи данных, например, клиенты FTP/SFTP и облачных хранилищ. Помимо этого, стоит обращать внимание на подключение к веб-сайтам, связанным с облачным хранилищем, которое было произведено из необычных мест.
https://blog.group-ib.ru/revil
В список клиентов Кэмпбелла входят известные компании из различных секторов промышленности, включая автомобилестроение, авиацию, энергетику, страхование, фармацевтику, розничную торговлю, гостиничный бизнес и транспорт.
Некоторые из его нынешних и прошлых клиентов включают Exxon, Apple, Mercedes Benz, Boeing, Home Depot, British Airways, Dow Chemical, Allianz Insurance, Universal Health Services, Marriott International, Johnson & Johnson, Pfizer, Time Warner и многие другие.
«27 февраля 2021 года Кэмпбелл стало известно о необычной активности в своей сети», - сообщила юридическая фирма в опубликованном ранее сегодня пресс-релизе.
«Кэмпбелл провел расследование и установил, что на сеть воздействовали программы-вымогатели, которые препятствовали доступу к определенным файлам в системе».
Компания наняла сторонних судебно-медицинских экспертов для расследования инцидента после обнаружения атаки и уведомила ФБР о нарушении безопасности.
Кэмпбелл выпустил пресс-релиз с уведомлением, поскольку расследование установило, что к информации, касающейся пострадавших лиц, получили доступ злоумышленники, стоящие за атакой программы-вымогателя.
Хотя нет четких доказательств того, что операторы программ-вымогателей получают доступ к конкретной информации о каждом потенциально уязвимом человеке, Кэмпбелл подтвердил, что затронутые устройства содержат различные типы данных.
Как выяснил Кэмпбелл,
https://www.bleepingcomputer.com/news/security/ransomware-hits-law-firm-counseling-fortune-500-global-500-companies/
Обнаружена новая версия программы-вымогателя LockBit 2.0, которая автоматизирует шифрование домена Windows с помощью групповых политик Active Directory.
Операция LockBit была запущена в сентябре 2019 года как RAAS, при которой злоумышленники нанимаются для взлома сетей и шифрования устройств.
В свою очередь, привлеченные партнеры зарабатывают 70-80% выкупа, а разработчики LockBit оставляют себе остальное.
На протяжении многих лет операции с программами-вымогателями были очень активными, представитель кибергруппы продвигал эту деятельность и оказывал поддержку на хакерских форумах.
После того, как темы о программах-вымогателях были запрещены на хакерских форумах, LockBit начала продвигать новую операцию RAAS LockBit 2.0 на своем сайте утечки данных.
В новую версию LockBit включены многочисленные расширенные функции, две из которых описаны ниже.
Использует обновление групповой политики для шифрования сети
LockBit 2.0 предлагает длинный список функций, многие из которых в прошлом использовались другими программами-вымогателями.
Однако осталась одна продвигаемая функция, разработчики которой утверждают, что автоматизировали распространение программ-вымогателей по всему домену Windows без использования скриптов.
Когда злоумышленники взламывают сеть и, наконец, получают контроль над контроллером домена, они используют стороннее программное обеспечение для развертывания сценариев, отключающих антивирус, а затем запускают программу-вымогатель на машинах в сети.
В образцах вымогателя LockBit 2.0, обнаруженного MalwareHunterTeam и проанализированного BleepingComputer и Виталием Кремезом, злоумышленники автоматизировали этот процесс, так что вымогатель распространяется по всему домену при запуске на контроллере домена.
При запуске программа-вымогатель создает новые групповые политики на контроллере домена, которые затем передаются на каждое устройство в сети.
Эти политики отключают защиту в реальном времени Microsoft Defender, предупреждения, отправку образцов в Microsoft и действия по умолчанию при обнаружении вредоносных файлов,
LockBit 2.0 также включает функцию, ранее использовавшуюся операцией Egregor Ransomware, которая распечатывает записку о выкупе на всех сетевых принтерах.
Когда программа-вымогатель завершит шифрование устройства, она будет многократно печатать записку о выкупе на всех подключенных сетевых принтерах, чтобы привлечь внимание жертвы,
https://www.bleepingcomputer.com/news/security/lockbit-ransomware-now-encrypts-windows-domains-using-group-policies/
После периода почти полной активности вымогатель DoppelPaymer осуществил ребрендинг, получив название Grief (также известного как Pay or Grief).
Неясно, стоит ли кто-нибудь из первоначальных разработчиков по-прежнему за этой программой-вымогателем как услуга (RaaS), но ключи, обнаруженные исследователями безопасности, указывают на продолжение «проекта».
Активность DoppelPaymer начала снижаться в середине мая, примерно через неделю после атаки DarkSide на Colonial Pipeline, одного из крупнейших операторов топливных трубопроводов в США.
Поскольку с 6 мая на их сайте утечки не было никаких обновлений, похоже, DoppelPaymer сделала шаг назад, ожидая, пока внимание общественности к атакам программ-вымогателей рассеется.
Однако исследователи безопасности в прошлом месяце указали, что Grief и DoppelPaymer являются именами одной и той же угрозы.
Фабиан Восар из Emsisoft сообщил, что они использовали один и тот же зашифрованный формат файла и один и тот же канал распространения - ботнет Dridex.
Несмотря на попытки злоумышленника сделать Grief похожей на отдельный RaaS, сходство с DoppelPaymer настолько разительно, что связь между ними невозможно игнорировать.
Новости о программе-вымогателе Grief появились в начале июня, когда считалось, что это новая операция, но был обнаружен образец с датой компиляции 17 мая.
Кроме того, две угрозы вымогателей основаны на очень похожем коде, который реализует «идентичные алгоритмы шифрования (2048-битный RSA и 256-битный AES), хеширование импорта и расчет смещения точки входа».
Еще одно сходство заключается в том, что и Grief, и DoppelPaymer используют Общие правила защиты данных Европейского союза (GDPR) в качестве предупреждения о том, что жертвам, не уплачивающим деньги, все равно придется столкнуться с судебными санкциями из-за нарушения.
Grief перешла на криптовалюту Monero, что может быть защитной мерой от возможных действий правоохранительных органов, которые могут привести к изъятию уже собранных выкупных денег.
https://www.bleepingcomputer.com/news/security/grief-ransomware-operation-is-doppelpaymer-rebranded/
Новая кибергруппа под названием BlackMatter покупает доступ к корпоративным сетям, утверждая, что включает в себя лучшие функции известных и ныне несуществующих операций REvil и DarkSide.
В сообщении злоумышленник заявил, что хочет купить доступ к сетям в США, Канаде, Австралии и Великобритании, за исключением сетей, связанных с медицинскими и государственными организациями.
Они также поделились, что готовы потратить от 3000 до 100000 долларов на каждую сеть, которая соответствовала следующим критериям:
Выручка 100 миллионов долларов и более.
В сети должно быть 500-15 000 устройств.
Это должна быть новая сеть, на которую другие злоумышленники еще не нацелились.
В дополнение к публикации информации о своей деятельности, BlackMatter заявляет, что они не будут нацелены на организации в следующих отраслях:
Больницы.
Объекты критической инфраструктуры (атомные электростанции, электростанции, водоочистные сооружения).
Нефтегазовая промышленность (трубопроводы, нефтеперерабатывающие заводы).
Оборонная промышленность.
Некоммерческие компании.
Государственный сектор.
Recorded Future сообщает, что исполняемые файлы программ-вымогателей имеют различные форматы, поэтому они могут шифровать различные операционные системы и архитектуру устройств.
«Программа-вымогатель предоставляется для нескольких различных версий операционных систем и архитектур и доступна в различных форматах, включая вариант Windows с поддержкой SafeMode (EXE / Reflective DLL / PowerShell) и вариант Linux с поддержкой NAS: Synology, OpenMediaVault, FreeNAS (TrueNAS) », - сообщает Recorded Future.
Согласно BlackMatter, вариант вымогателя Windows был успешно протестирован на Windows Server 2003+ x86 / x64 и Windows 7+ x64 / x86. Вариант вымогателя Linux был успешно протестирован на ESXI 5+, Ubuntu, Debian и CentOs. Поддерживаемые файловые системы для Linux включают VMFS, VFFS, NFS, VSAN ".
Восстановление из пепла DarkSide и REvil?
Информация, обнаруженная исследователями в области безопасности, а также сходство веб-сайтов и партнеров могут указывать на то, что BlackMatter нанял или был создан злоумышленниками, которые ранее участвовали в операциях вымогателей DarkSide и REvil.
О закрытии DarkSide впервые сообщил публичный представитель REvil, Unknown, который разместил об этом на хакерском форуме.
Два месяца спустя настала очередь REvil закрыться после массированной атаки на поставщиков управляемых услуг по всему миру с помощью уязвимости Kaseya VSA нулевого дня.
Как и DarkSide, REvil испытывал сильное давление со стороны правительства США и международных правоохранительных органов.
Recorded Future также сообщает, что BlackMatter заявила: «Проект вобрал в себя лучшие функции DarkSide, REvil и LockBit».
https://www.bleepingcomputer.com/news/security/blackmatter-ransomware-gang-rises-from-the-ashes-of-darkside-revil/
Фабиан Восар:
Ребрендинг от DarkSide также объясняет причину, по которой новая группа BlackMatter не будет нацелена на «нефтегазовую промышленность (трубопроводы, нефтеперерабатывающие заводы)», что привело к их предыдущему краху.
К сожалению, это высококвалифицированная группа, ориентирована на несколько архитектур устройств, включая серверы Windows, Linux и ESXi.
В связи с этим нам нужно будет следить за этой новой группой, поскольку они обязательно будут атаковать хорошо известные цели в будущем.
https://www.bleepingcomputer.com/news/security/darkside-ransomware-gang-returns-as-new-blackmatter-operation/
+
https://id-ransomware.blogspot.com/2021/07/blackmatter-ransomware.html
+
".MUST" - [email protected] - https://forum.kasperskyclub.ru/topic/82839-shifrovalshhik-james2020maolcommust/
+
".GanP" - [email protected] - https://forum.drweb.com/index.php?&showtopic=334774
+
Jakub Kroustek:
'.CLEAN' - '[email protected]' - https://virustotal.com/gui/file/bf4dc157191b33fa3e58053dccfa6e9aef43ce8770b85639e721dcc2597bd811/
+
'.c0v' - '[email protected]' - https://virustotal.com/gui/file/833a005ebb7be08c005b6adf3ff799c20b4aba27fec1f93d601bd04a91ddd38f/
***
https://chklst.ru/discussion/1840/crysis-grozyaschaya-katastrofa-i-kak-s-ney-borotsya#latest
LockBit 2.0 активно вербует корпоративных инсайдеров, чтобы помочь им взламывать и шифровать сети. Взамен инсайдеру обещаны выплаты в миллион долларов.
Во многих случаях аффилированные лица покупают доступ к сетям у других сторонних пентестеров, а не взламывают сами компанию.
С помощью LockBit 2.0 кибергруппа пытается удалить посредника и вместо этого нанять инсайдеров, чтобы им предоставили доступ к корпоративной сети.
LockBit 2.0 обещает инсайдерам миллионы долларов
В июне LockBit объявила о запуске своей новой программы-вымогателя LockBit 2.0 ransomware-as-a-service.
Этот перезапуск включал переработанный дизайн сайтов Tor и многочисленные расширенные функции, включая автоматическое шифрование устройств в сети с помощью групповых политик.
С этим перезапуском LockBit также изменил обои Windows, размещенные на зашифрованных устройствах, чтобы предложить «миллионы долларов» корпоративным инсайдерам, которые предоставляют доступ к сетям, в которых у них есть учетные записи.
Полный текст с отредактированной контактной информацией объясняет, что LockBit ищет RDP, VPN, учетные данные корпоративной электронной почты, которые они затем могут использовать для получения доступа к сети.
Банда программ-вымогателей также заявляет, что отправит инсайдеру «вирус», который должен быть запущен на компьютере, что, вероятно, предоставит банде вымогателей удаленный доступ к сети.
https://www.bleepingcomputer.com/news/security/lockbit-ransomware-recruiting-insiders-to-breach-corporate-networks/
Тайваньский производитель материнских плат пострадал от RansomEXX, которые угрожают опубликовать 112 ГБ украденных данных, если не будет уплачен выкуп.
Gigabyte наиболее известна своими материнскими платами, но также производит другие компьютерные компоненты и оборудование, такие как видеокарты, серверы центров обработки данных, ноутбуки и мониторы.
Атака произошла поздно вечером вторника в среду и вынудила компанию закрыть свои системы на Тайване. Инцидент также затронул несколько веб-сайтов компании, включая сайт поддержки и отдельные части тайваньского веб-сайта.
На закрытой странице утечки злоумышленники утверждают, что украли 112 ГБ данных из внутренней сети Gigabyte, а также из репозитория Git American Megatrends,
Что нужно знать о RansomEXX
Операция вымогателей RansomEXX первоначально началась под названием Defray в 2018 году, но в июне 2020 года была переименована в RansomEXX, когда они стали более активными.
Как и другие операции с программами-вымогателями, RansomEXX может взломать сеть с помощью протокола удаленного рабочего стола, эксплойтов или украденных учетных данных.
Получив доступ к сети, они будут собирать больше учетных данных, постепенно получая контроль над контроллером домена Windows. Во время этого бокового распространения по сети злоумышленники будут красть данные с незашифрованных устройств, которые используются в качестве рычага для вымогательства.
RansomEXX не только нацелен на устройства Windows, но также создал шифровальщик Linux для шифрования виртуальных машин, на которых работают серверы VMware ESXi.
https://www.bleepingcomputer.com/news/security/computer-hardware-giant-gigabyte-hit-by-ransomexx-ransomware/
Универсальный ключ дешифрования для атаки REvil на клиентов Касеи просочился на хакерских форумах, что позволило исследователям впервые увидеть загадочный ключ.
Однако кибергруппа REvil таинственным образом исчезла, и вскоре после этого платежные сайты и инфраструктура Tor были закрыты.
Исчезновение группы помешало компаниям, которым, возможно, нужно было купить дешифратор, теперь не удалось этого сделать.
22 июля Касея получил универсальный ключ дешифрования для атаки вымогателя от таинственной «доверенной третьей стороны» и начал распространять его среди пострадавших клиентов.
Прежде чем поделиться дешифратором с клиентами, CNN сообщила, что Касея потребовала от них подписать соглашение о неразглашении, что может объяснить, почему ключ дешифрования не показывался до сих пор.
Ключ дешифрования просочился на хакерский форум
Вчера исследователь безопасности Pancak3 сообщил, что кто-то опубликовал на хакерском форуме скриншот того, что, по их словам, является универсальным дешифратором REvil.
Этот пост связан со снимком экрана на GitHub, на котором показан дешифратор REvil, работающий при отображении хешированного ключа base64 master_sk. Этот ключ - «OgTD7co7NcYCoNj8NoYdPoR8nVFJBO5vs / kVkhelp2s =», как показано ниже.
Когда жертвы вымогателя REvil платят выкуп, они получают либо дешифратор, который работает для одного зашифрованного расширения файла, либо универсальный дешифратор, который работает для всех зашифрованных расширений файлов, используемых в конкретной кампании или атаке.
На приведенном выше снимке экрана показан универсальный дешифратор REvil, который может расшифровать все расширения, связанные с атакой.
Для ясности: хотя изначально предполагалось, что ключ дешифрования на этом скриншоте может быть главным «операторским» ключом для всех кампаний REvil, BleepingComputer подтвердил, что это только универсальный ключ дешифратора для жертв атаки Kaseya.
Это также подтвердил технический директор Emsisoft и эксперт по программам-вымогателям Фабиан Восар
BleepingComputer проверил утечку ключа, установив на универсальный дешифратор REvil исправление с ключом дешифрования, обнаруженным на скриншоте.
(c2cf2118550a0fd7f81fe9913fe36be24c03a0ae5430b94557e0ee71c550a58c)
Далее, была зашифрована виртуальную машина с помощью образца REvil, использованного в атаке Kaseya.
(d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e)
Далее, BleepingComputer использовал пропатченный REvil Universal Decryptor для успешного дешифрования зашифрованных файлов.
На других образцах REvil, которые накопились за последние два года декриптор не работал, что указывает на то, что он не является основным ключом дешифрования для всех жертв REvil.
Непонятно, почему дешифратор Kaseya был размещен на хакерском форуме, который жертва вряд ли может разместить.
Независимо от причин, по которым он был опубликован, для тех, кто следит за атакой программы-вымогателя Kaseya, это наш первый доступ к универсальному ключу дешифратора, который таинственным образом получил Kaseya.
https://www.bleepingcomputer.com/news/security/kaseyas-universal-revil-decryption-key-leaked-on-a-hacking-forum/
p.s.
Accenture, глобальный консалтинговый ИТ-гигант, якобы подвергся кибератаке с использованием программ-вымогателей со стороны банды вымогателей LockBit.
Accenture - это ИТ-гигант, который, как известно, обслуживает широкий спектр отраслей, включая автомобили, банки, правительство, технологии, энергетику, телекоммуникации и многие другие.
Accenture, оцениваемая в 44,3 миллиарда долларов, является одной из крупнейших консалтинговых компаний в мире, в которой работает около 569 000 сотрудников в 50 странах.
Группа программ-вымогателей угрожает утечкой украденных данных
Группа вымогателей, известная как LockBit 2.0, угрожает опубликовать данные о файлах, предположительно украденных у Accenture во время недавней кибератаки.
Хотя LockBit не представила доказательств украденных данных, они заявляют, что готовы продать их любым заинтересованным сторонам.
Похищено 6 ТБ файлов, требуется выкуп в размере 50 миллионов долларов
В беседах, замеченных исследовательской группой Cyble, LockBit утверждает, что украла шесть терабайт данных у Accenture, и требует выкупа в размере 50 миллионов долларов.
Злоумышленники утверждают, что получили доступ к сети Accenture через корпоративного «инсайдера».
Источники, знакомые с атакой, сообщили, что Accenture подтвердила атаку программ-вымогателей, по крайней мере, одного поставщика CTI, и поставщик ИТ-услуг также находится в процессе уведомления большего числа клиентов.
Кроме того, компания Hudson Rock, занимающаяся разведкой киберпреступлений, сообщила, что у Accenture было 2500 взломанных компьютеров, принадлежащих сотрудникам и партнерам.
LockBit ранее поражал множество жертв, в том числе железнодорожную сеть Merseyrail в Великобритании.
Ранее на этой неделе правительство Австралии предупредило об эскалации атак программ-вымогателей LockBit 2.0 после того, как было замечено, что группа активно вербует инсайдеров в компаниях, которые они планируют взломать, в обмен на вознаграждение в миллионы долларов.
https://www.bleepingcomputer.com/news/security/accenture-confirms-hack-after-lockbit-ransomware-data-leak-threats/
Сценарий PowerShell, используемый операторами вымогателя Pysa, дает нам возможность взглянуть на типы данных, которые они пытаются украсть во время кибератаки.
Когда операторы Ransomware взламывают сеть, они обычно начинают с ограниченного доступа к одному устройству.
Затем они используют различные инструменты и эксплойты для кражи других учетных данных, используемых в домене Windows, или получения повышенных прав на разных устройствах.
Получив доступ к контроллеру домена Windows, они ищут и крадут данные в сети перед шифрованием устройств.
Злоумышленники используют украденные данные двумя способами.
Первый - создать спрос на выкуп, основанный на доходах компании и наличии у них страховых полисов. Второй - запугать жертв, заставив их заплатить выкуп за похищенные данные.
Поиск ценных данных
Команда MalwareHunterTeam поделилась сценарием PowerShell с BleepingComputer, используемым операцией вымогателя Pysa для поиска и эксфильтрации данных с сервера.
Этот сценарий разработан для сканирования каждого диска на предмет папок с данными, имена которых соответствуют определенным строкам на устройстве. Если папка соответствует критериям поиска, сценарий загрузит файлы папки на удаленный сервер путем перетаскивания под управлением злоумышленника.
Особый интерес представляют 123 ключевых слова, которые ищет сценарий, которые дают нам представление о том, что именно злоумышленники считает ценным.
Как и следовало ожидать, скрипт ищет файлы, связанные с финансовой или личной информацией компании, такие как аудит, банковская информация, учетные данные, налоговые формы, информация о студентах, номера социального страхования и документы SEC.
Однако он также ищет более интригующие ключевые слова, которые могут быть особенно вредными для компании в случае утечки, например папки, содержащие слова «преступление», «расследование», «мошенничество», «бюро», «федеральный», «скрытый», «секретный», «незаконный» и «террор».
Полный список из 123 ключевых слов, на которые ссылается скрипт злоумышленников, приведен в таблице ниже.
Pysa - не единственный, кто ищет определенные файлы после взлома сети.
Это еще раз показывает, насколько обеспечить адекватную защиту данных.
https://www.bleepingcomputer.com/news/security/ransomware-gangs-script-shows-exactly-the-files-theyre-after/
исследователи безопасности предоставили переведенный вариант, в котором представлена
информация о методах атаки данной кибергруппы и тщательности инструкций, которые позволяют менее опытным участникам становиться филиалами программ-вымогателей Conti и поражать ценные цели.
Лингвисты, работающие с исследователями Cisco Talos, просмотрели просочившийся материал, чтобы предоставить версию на английском языке, которая точно описывает методы и инструменты.
Сценарии атак, описанные в документах, были настолько тщательными, что, по словам исследователей, «даже злоумышленники-любители [могли] проводить разрушительные атаки программ-вымогателей».
Среди «советов», представленных в руководствах, - как получить доступ администратора после взлома сети жертвы с помощью команд и инструментов для составления списка пользователей, особенно тех, которые имеют доступ к Active Directory.
Также подробно описывается простая разведка, такая как проверка LinkedIn и других платформ социальных сетей для выявления сотрудников с привилегированным доступом, с примечанием, что эти методы лучше работают для компаний в США и Европе
Инструменты и методы
Самый популярный инструмент, описанный в просочившемся материале, - это фреймворк Cobalt Strike, сопровождаемый взломанной версией программного обеспечения 4.3.
В инструкциях по использованию также упоминается об использовании уязвимости ZeroLogon (CVE-2020-1472). Другие критические ошибки, упомянутые в сборнике программ-вымогателей Conti, - это PrintNightmare (CVE-2021-1675, CVE-2021-34527) и EternalBlue (CVE-2017-0143 / 0148).
Некоторые инструменты, подробно описанные противником, не являются тем, что исследователи Cisco обычно видят во время мероприятий по реагированию на инциденты:
Armitage - графический интерфейс на основе Java для платформы тестирования на проникновение Metasploit
SharpView - порт .NET для инструмента PowerView из набора инструментов PowerSploit Offensive на основе PowerShell.
SharpChrome - для расшифровки логинов и файлов cookie в Chrome
SeatBelt - собирает системные данные, такие как версия ОС, политика UAC, пользовательские папки
Среди других инструментов и утилит командной строки, описанных в просочившихся документах, есть следующие:
ADFind - инструмент запросов Active Directory
Платформа PowerShell - для отключения Защитника Windows
GMER - альтернатива для выявления решений безопасности и их отключения
SMBAutoBrute - для перебора учетных записей в текущем домене.
Kerberoasting - метод использования грубой силы для взлома хэша пароля Kerberos
Mimikatz - для выгрузки паролей из памяти
RouterScan - инструмент для обнаружения устройств в сети и извлечения паролей с помощью эксплойта или грубой силы.
AnyDesk - приложение удаленного рабочего стола для настойчивости
Atera - еще одна программа удаленного доступа
Перед тем, как перейти к эксплуатации, аффилированным лицам предлагается узнать о доходах своей жертвы, просмотрев информацию из открытых источников.
Утечка также включает видеоуроки, в основном на русском языке, в которых объясняется, как использовать PowerShell для проверки на проникновение, атак на Active Directory или как использовать SQL Server в домене Windows.
Большая часть видеоуроков (Metasploit, PowerShell, атаки и защита WMI, сетевое тестирование на проникновение) для аффилированных лиц взяты из различных ресурсов безопасности, доступных в Интернете.
Исследователи Cisco Talos считают, что переведенная версия просочившейся документации Conti поможет другим исследователям лучше понять тактику, методы и процедуры этого злоумышленника, а также других лиц, которые могут быть вдохновлены документацией.
«Это возможность для защитников убедиться, что у них есть логика для обнаружения такого поведения или компенсирующие меры, помогающие снизить риск. Этот перевод следует рассматривать как возможность для защитников лучше понять, как действуют эти группы, и какие инструменты они обычно используют в этих атаках », - Cisco Talos
Исследователи предоставляют переведенные отдельные тексты в ZIP-архиве, а также в PDF-файле. Краткое изложение материалов также доступно в Fortinet.
https://www.bleepingcomputer.com/news/security/translated-conti-ransomware-playbook-gives-insight-into-attacks/
Dark Web серверы для работы REvil внезапно снова включились после почти двухмесячного отсутствия. Неясно, означает ли это возвращение их группы или серверы включаются правоохранительными органами.
2 июля REvil, также известная как Sodinokibi, использовала уязвимость нулевого дня в программном обеспечении удаленного управления Kaseya VSA для шифрования примерно 60 поставщиков управляемых услуг (MSP) и более 1500 своих бизнес-клиентов.
Затем REvil потребовал 5 миллионов долларов от MSP за дешифратор или 44 999 долларов за каждое зашифрованное расширение в отдельных компаниях.
Revil также потребовала 70 миллионов долларов за главный ключ дешифрования для расшифровки всех жертв Касеи, но вскоре снизила цену до 50 миллионов долларов.
После атаки кибергуппа столкнулась с растущим давлением со стороны правоохранительных органов.
Вскоре после этого REvil исчезла, а все их серверы и инфраструктура Tor были отключены.
По сей день неясно, что произошло, но жертвы программ-вымогателей, которые хотели вести переговоры, не могли этого сделать и не имели возможности восстанавливать файлы.
Загадочным образом Касея позже получила главный ключ дешифрования для жертв атаки и заявила, что он был от доверенной третьей стороны.
Инфраструктура REvil внезапно включается
Сегодня и сайт оплаты / переговоров Tor, и сайт утечки данных Tor 'Happy Blog' от REvil внезапно возобновили работу.
Самая последняя жертва на сайте утечки данных REvil была добавлена 8 июля 2021 года, всего за пять дней до загадочного исчезновения REvil.
В отличие от сайта утечки данных, который функционирует, сайт переговоров Tor, похоже, еще не полностью функционирует. Хотя он показывает экран входа в систему, как показано ниже, он не позволяет жертвам входить на сайт.
Http://decoder.re/ в настоящее время все еще не в сети.
В настоящее время неясно, снова ли работает кибергуппа, серверы были снова включены по ошибке, или это связано с действиями правоохранительных органов.
https://www.bleepingcomputer.com/news/security/revil-ransomwares-servers-mysteriously-come-back-online/
p.s. есть уже вход на сайте в Tor+trial decrypt (работает)
Olympus, ведущая компания в области медицинских технологий, расследует «потенциальный инцидент, связанный с кибербезопасностью», который на прошлой неделе затронул некоторые из ее ИТ-систем в регионе EMEA (Европа, Ближний Восток, Африка).
Компания Olympus насчитывает более 31 000 сотрудников по всему миру и имеет более чем 100-летний опыт разработки в области медицины, биологических наук и промышленного оборудования.
Подразделения компании по производству фотоаппаратов, аудиомагнитофонов и биноклей были переданы компании OM Digital Solutions, которая занимается продажей и распространением этих продуктов с января 2021 года.
Безопасность клиентов не пострадала от атаки
«Olympus в настоящее время расследует потенциальный инцидент кибербезопасности, затронувший ограниченные области ее ИТ-систем в регионе EMEA (Европа, Ближний Восток, Африка) 8 сентября 2021 года», - говорится в заявлении компании, опубликованном в субботу, через три дня после атаки.
«При обнаружении подозрительной активности мы немедленно мобилизовали специализированную группу реагирования, включая экспертов-криминалистов, и в настоящее время работаем над решением этой проблемы в первоочередном порядке.
«В рамках расследования мы приостановили передачу данных в затронутых системах и проинформировали соответствующих внешних партнеров».
Olympus также сообщил, что работает над определением степени ущерба, нанесенного этой атакой, и поделится дополнительной информацией, как только она станет доступна.
Признаки атаки программы-вымогателя BlackMatter
Хотя компания Olympus не сообщила никаких подробностей о личности злоумышленников, записки о выкупе остались в системах, затронутых во время атаки BlackMatter.
Те же записки о выкупе также указывают на веб-сайт Tor, который BlackMatter использовала в прошлом для общения с жертвами.
https://www.bleepingcomputer.com/news/security/blackmatter-ransomware-hits-medical-technology-giant-olympus/
Операторы неизвестной кибергруппы ransomware используют скрипт Python для шифрования виртуальных машин, размещенных на серверах VMware ESXi.
Хотя язык программирования Python обычно не используется при разработке программ-вымогателей, это логичный выбор для систем ESXi, поскольку такие серверы на базе Linux поставляются с установленным Python по умолчанию.
Как недавно обнаружили исследователи Sophos при расследовании инцидента с программой-вымогателем, сценарий программы-вымогателя Python использовался для шифрования виртуальных машин жертвы, работающих на уязвимом гипервизоре ESXi, в течение трех часов после первого взлома.
«Недавно завершившееся расследование атаки программ-вымогателей показало, что злоумышленники выполнили специальный сценарий Python на гипервизоре виртуальной машины цели, чтобы зашифровать все виртуальные диски, отключив виртуальные машины организации», - сказал главный исследователь SophosLabs Эндрю Брандт.
«В ходе одной из самых быстрых атак, исследованных Sophos, с момента первоначального взлома до развертывания сценария вымогателя злоумышленники провели в сети цели чуть более трех часов, прежде чем зашифровать виртуальные диски на сервере VMware ESXi.
Виртуальные машины зашифрованы с помощью сценария размером 6 КБ
Посреди ночи злоумышленники взломали сеть жертвы на выходных, войдя в учетную запись TeamViewer, запущенную на устройстве, в котором вошел администратор домена.
Оказавшись внутри, они начали поиск в сети дополнительных целей с помощью Advanced IP Scanner и вошли на сервер ESXi через встроенную службу SSH ESXi Shell, которая была случайно оставлена включенной ИТ-персоналом (хотя по умолчанию она отключена).
Затем операторы программ-вымогателей выполнили сценарий Python размером 6 КБ для шифрования виртуальных дисков всех виртуальных машин и файлов настроек виртуальных машин.
Сценарий, частично восстановленный во время расследования инцидента, позволяет операторам программ-вымогателей использовать несколько ключей шифрования и адресов электронной почты и настраивать суффикс файла для зашифрованных файлов.
Он работает, выключая виртуальные машины, перезаписывая исходные файлы, хранящиеся на томах хранилища данных, затем удаляя их, чтобы заблокировать попытки восстановления, и оставляя зашифрованные файлы позади.
«Администраторы, использующие ESXi или другие гипервизоры в своих сетях, должны следовать лучшим практикам безопасности, избегать повторного использования паролей и использовать сложные, трудные для перебора пароли соответствующей длины», - рекомендовал Брандт.
«По возможности включите использование многофакторной аутентификации и принудительно используйте MFA для учетных записей с высокими разрешениями, таких как администраторы домена».
VMware также дает советы по обеспечению безопасности серверов ESXi, ограничивая риск несанкционированного доступа и поверхности атаки на самом гипервизоре.
Серверы VMware ESXi подвергаются атаке
Атака на серверы ESXi - очень разрушительная тактика для групп программ-вымогателей, поскольку большинство из них запускают несколько виртуальных машин одновременно, на многих из которых развернуты критически важные для бизнеса службы и приложения.
Многие группы, в том числе Darkside, RansomExx и Babuk Locker, использовали ошибки предварительной авторизации RCE в VMWare ESXi для шифрования виртуальных жестких дисков, используемых в качестве централизованного корпоративного хранилища.
Это не первый случай, когда вредоносные инструменты на основе Python использовались для нацеливания на серверы VMware, доступные в Интернете.
В июне исследователи обнаружили многоплатформенное вредоносное ПО FreakOut на основе Python, нацеленное на устройства Windows и Linux, обновленное для проникновения на серверы VMware vCenter, не исправленное для устранения критической ошибки RCE во всех установках по умолчанию.
FreakOut - это запутанный скрипт Python, предназначенный для уклонения от обнаружения с помощью полиморфного движка и руткита пользовательского режима, скрывающего вредоносные файлы, попавшие в зараженные системы.
Версии вымогателей HelloKitty и BlackMatter для Linux также были замечены в дикой природе в июле и августе, и обе они были нацелены на платформу виртуальных машин VMware ESXi.
Что еще хуже, поскольку VMware ESXi является одной из самых, если не самых популярных платформ корпоративных виртуальных машин, почти каждая группа программ-вымогателей, нацеленная на предприятия, начала разрабатывать свои шифраторы, специально предназначенные для виртуальных машин ESXi.
https://www.bleepingcomputer.com/news/security/ransomware-gang-encrypts-vmware-esxi-servers-with-python-script/
Несмотря на то, что на американские и европейские компании приходится львиная доля атак с использованием программ-вымогателей, российские компании в стране так же не избавлены от необходимости самостоятельно решать проблемы с шифрованием файлов и двойным вымогательством.
Как объясняет Касперский в подробном обзоре кибератак в первой половине 2021 года, СНГ (Содружество Независимых Государств) также является целью киберпреступной экосистемы, нацеленной на российские компании каждый месяц, и о большинстве из них не сообщается.
Наиболее заметными семействами программ-вымогателей, которые были развернуты в этом году против компаний, являются следующие:
Касперский предупреждает, что некоторые из этих штаммов все еще развиваются, и авторы работают над тем, чтобы сделать свои штаммы более мощными, поэтому ни один из них не следует игнорировать.
Российские компании могут предотвратить многие из этих угроз, просто заблокировав доступ по протоколу RDP, используя надежные пароли для учетных записей домена, которые регулярно меняются, и получая доступ к корпоративным сетям через VPN.
https://www.bleepingcomputer.com/news/security/russian-orgs-heavily-targeted-by-smaller-tier-ransomware-gangs/
https://securelist.com/cis-ransomware/104452/
https://securelist.ru/cis-ransomware/103701/
Наиболее примечательной особенностью MirrorBlast является низкий уровень обнаружения вредоносных документов Excel кампании программным обеспечением безопасности, что подвергает высокому риску фирмы, полагающиеся исключительно на средства обнаружения.
Разработчики этих вредоносных документов приложили значительные усилия для сокрытия вредоносного кода, добившись нулевого обнаружения на VirusTotal.
Однако у этих оптимизированных документов есть недостатки, которые, по-видимому, участники готовы принять в качестве компромисса. В частности, код макроса может выполняться только в 32-разрядной версии Office.
Если жертву обманом заставить открыть вредоносный документ и «разрешить содержимое» в Microsoft Office, макрос выполняет сценарий JScript, который загружает и устанавливает пакет MSI ».
Однако до этого макрос выполняет базовую проверку анти-песочницы на предмет того, совпадает ли имя компьютера с доменом пользователя и совпадает ли имя пользователя с «admin» или «administrator».
По словам исследователей из Morphisec, которые проанализировали несколько образцов сброшенного пакета MSI, он представлен в двух вариантах: один написан на REBOL, а другой - в KiXtart.
Вариант REBOL, который закодирован в base64, начинается с извлечения такой информации, как имя пользователя, версия ОС и архитектура.
Затем он ожидает команды C2, которая запускает Powershell, который выполнит второй этап. Однако исследователям не удалось получить эту ступень, поэтому ее функции неизвестны.
Полезная нагрузка KiXtart также зашифрована и также пытается передать основную информацию о машине на C2, включая домен, имя компьютера, имя пользователя и список процессов.
Акторами кампании, по всей видимости, являются «TA505», активная кибергруппа угроз, которая имеет долгую историю творческого подхода к использованию документов Excel в кампаниях по борьбе со спамом.
Morphisec смог связать участников с кампанией MirrorBlast благодаря сходству цепочки заражения с прошлыми операциями, злоупотреблению OneDrive, особенностям методов именования доменов и существованию несоответствия контрольной суммы MD5, которое указывает на атаку 2020 года, запущенную TA505.
TA505 также связан с многочисленными атаками с использованием уязвимости нулевого дня в устройствах безопасного обмена файлами Accenture FTA для кражи данных у организаций.
Затем злоумышленники попытались вымогать у компаний выкуп в размере 10 миллионов долларов, чтобы не допустить публичной утечки данных на их сайте утечки данных Clop.
Таким образом, ИТ-команды финансовых организаций, на которые распространяется кампания MirrorBlast, не могут позволить себе ослабить защиту даже на мгновение.
https://www.bleepingcomputer.com/news/security/russian-cybercrime-gang-targets-finance-firms-with-stealthy-macros/
Операции REvil, вероятно, снова прекратилась после того, как неизвестный захватил их платежный портал Tor и блог об утечках данных.
Ранее сегодня сайты Tor были отключены, а злоумышленник, связанный с операцией REvil, разместил на форуме XSS-хакеров сообщение о том, что кто-то захватил домены группы.
Дмитрий Смилянец из Recorded Future заявляет, что неизвестный захватил скрытые службы Tor (луковые домены) с теми же закрытыми ключами, что и сайты Tor REvil, и, вероятно, имеет резервные копии сайтов.
«Но поскольку у нас сегодня в 17.10 с 12:00 по московскому времени кто-то поднял скрытые сервисы лендинга и блога с теми же ключами, что и наш, мои опасения подтвердились. У третьей стороны есть резервные копии с луковыми сервисными ключами, "злоумышленник, известный как '0_neday', разместил сообщение на хакерском форуме.
Злоумышленник заявил, что не обнаружил никаких признаков взлома своих серверов, но будет прекращать операцию.
Затем злоумышленник сказал аффилированным лицам связаться с ним для получения ключей дешифрования кампании через Tox, вероятно, чтобы филиалы могли продолжить вымогательство у своих жертв и предоставить дешифратор, если будет выплачен выкуп.
Чтобы запустить скрытую службу Tor (домен .onion), вам необходимо сгенерировать пару закрытого и открытого ключей, которая используется для инициализации службы.
Закрытый ключ должен быть защищен и доступен только доверенным администраторам, так как любой, у кого есть доступ к этому ключу, может использовать его для запуска той же службы .onion на своем собственном сервере.
Поскольку третья сторона смогла захватить домены, это означает, что у них тоже есть доступ к закрытым ключам скрытой службы.
На данный момент неизвестно, кто взломал их серверы.
Поскольку Bitdefender и правоохранительные органы получили доступ к главному ключу дешифрования REvil и выпустили бесплатный дешифратор, некоторые злоумышленники считают, что ФБР или другие правоохранительные органы получили доступ к серверам с момента их перезапуска.
REvil, скорее всего, отключится навсегда
После того, как REvil провела массовую атаку на компании через уязвимость нулевого дня в платформе Kaseya MSP, операция REvil внезапно прекратилась.
После того, как Unknown не вернулся, остальные операторы REvil снова запустили операцию и веб-сайты в сентябре, используя резервные копии.
С тех пор программа-вымогатель изо всех сил пыталась привлечь пользователей, доходя до увеличения комиссионных до 90%, чтобы побудить других злоумышленников работать с ними.
Из-за этой последней неудачи работа на текущем форуме, скорее всего, прекратится.
Однако, когда дело доходит до программ-вымогателей, ничто не длится вечно, и вскоре мы, скорее всего, увидим их ребрендинг как новую операцию.
https://www.bleepingcomputer.com/news/security/revil-ransomware-shuts-down-again-after-tor-sites-were-hijacked/
+
https://therecord.media/revil-gang-shuts-down-for-the-second-time-after-its-tor-servers-were-hacked/
update:
Представитель программы-вымогателя Lockbit предположил, что перезапуск REvil в сентябре на самом деле был операцией ФБР.
Агентство кибербезопасности и безопасности инфраструктуры (CISA), Федеральное бюро расследований (ФБР) и Агентство национальной безопасности (АНБ) опубликовали сегодня информационное сообщение с подробностями о том, как действует кибергруппа BlackMatter.
Эти три агентства также предоставляют информацию, которая может помочь организациям защититься от деятельность этого злоумышленника в сети.
Операция BlackMatter как услуги началась в июле с четкой целью взломать корпоративные сети, принадлежащие компаниям в США, Канаде, Австралии и Великобритании с доходом не менее 100 миллионов долларов.
Взломанные учетные данные
BlackMatter отвечает за шифрование систем в нескольких организациях в США и требует выкупа в размере 15 миллионов долларов в криптовалюте.
В совместных рекомендациях по кибербезопасности от CISA, ФБР и АНБ рассказывается о тактике, методах и процедурах, связанных с деятельностью BlackMatter, которые могут помочь организациям защититься от BlackMatter.
Один вариант вредоносного ПО, проанализированный в изолированной среде, показывает, что злоумышленник использовал скомпрометированные учетные данные администратора для обнаружения всех хостов в Active Directory жертвы.
Он также использовал функцию Microsoft Remote Procedure Call (MSRPC) (srvsvc.NetShareEnumAll), которая позволяла выводить список всех доступных сетевых ресурсов для каждого хоста.
Вредоносная программа для шифрования файлов BlackMatter также имеет версию для систем на базе Linux, которая может шифровать виртуальные серверы VMware ESXi, которые широко используются в корпоративных средах для целей управления ресурсами.
Сегодняшнее информационное сообщение предупреждает, что, в отличие от других программ-вымогателей, которые шифруют резервные хранилища данных и устройства, банда BlackMatter стирает или переформатирует их.
Обнаружение и защита
На основе идентифицированных TTP, связанных с программой-вымогателем BlackMatter, три агентства создали сигнатуры для системы обнаружения и предотвращения вторжений Snort с открытым исходным кодом, которая может предупреждать об инициации процесса удаленного шифрования.
Правило системы обнаружения вторжений:
Правило встроенной системы предотвращения вторжений:
Чтобы противостоять атакам BlackMatter, CISA, ФБР и АНБ совместно используют набор мер кибербезопасности, которые начинаются с базовой политики паролей и переходят к смягчениям, призванным минимизировать поверхность атаки Active Directory.
Помимо использования правил в Snort, указанных выше, агентства рекомендуют использовать надежные уникальные пароли для различных учетных записей, таких как администраторы, администраторы служб и доменов.
Многофакторная аутентификация должна быть активна для всех служб, поддерживающих эту функцию. Это требование особенно важно для веб-почты, виртуальных частных сетей и учетных записей, которые имеют доступ к критически важным системам.
Своевременная установка исправлений безопасности остается «одним из наиболее эффективных и рентабельных шагов, которые организация может предпринять для минимизации своей подверженности угрозам кибербезопасности».
Дополнительные рекомендации по смягчению последствий в рекомендации относятся к следующему:
ограничить доступ к ресурсам по сети для необходимых служб и учетных записей пользователей
сегментация сети и мониторинг обхода, чтобы затруднить видимость и отображение сети, а также узнать о необычной активности, указывающей на боковое движение
доступ на временной основе для учетных записей с правами администратора и выше в течение ограниченного периода времени, необходимого для выполнения задачи
отключите действия и разрешения командной строки и сценариев, чтобы предотвратить эскалацию привилегий и боковое перемещение
регулярно поддерживать автономные резервные копии, которые являются зашифрованными и неизменяемыми - его нельзя изменить, так называемое запоминающее устройство с функцией однократной записи и многократного чтения (WORM)
Для критически важных инфраструктурных организаций CISA, ФБР и АНБ выпустили специальный набор дополнительных мер, которым следует уделять приоритетное внимание:
Отключить хранение паролей в открытом виде в памяти LSASS.
Рассмотрите возможность отключения или ограничения New Technology Local Area Network Manager (NTLM) и аутентификации WDigest.
Внедрите Credential Guard для Windows 10 и Server 2016. Для Windows Server 2012R2 включите Protected Process Light для Local Security Authority (LSA)
Сведите к минимуму поверхность атаки AD, чтобы снизить активность по выдаче злонамеренных билетов. Вредоносная деятельность, такая как Kerberoasting, использует преимущества службы предоставления билетов Kerberos и может использоваться для получения хешированных учетных данных, которые злоумышленники пытаются взломать.
https://www.bleepingcomputer.com/news/security/fbi-cisa-nsa-share-defense-tips-for-blackmatter-ransomware-attacks/
Ransomware продолжают оставаться наиболее прибыльным методом монетизации несанкционированного доступа к взломанным сетям. Это самая большая угроза для организаций частного и государственного секторов, больших и малых. За последние три года мы стали свидетелями сотен больниц, пострадавших от Ransomware, а также других организаций сектора критической инфраструктуры, таких как Colonial Pipeline или JBS food. Чтобы замедлить рост эпидемии Ransomware требуется комплексный подход. Хотя это включает в себя аресты, действия против незаконных транзакций с криптовалютой, санкции или - тема этого блога - расшифровку.
Путем реверс-инжиниринга реализации шифрования, используемой вариантом Ransomware, исследователи могут использовать криптографическую уязвимость для расшифровки. Это позволяет восстанавливать файлы, не платя выкуп за ключи дешифрования. Когда группа Ransomware в конце концов понимает или узнает из публичных отчетов, что их программа шифрования имеет фундаментальные недостатки, они часто либо отказываются от нее, либо исправляют ошибку, либо начинают все заново, проводя ребрендинг.
Ниже описаны четыре сценария расшифровки вариантов Ransomware:
Сценарий 1
Исследователь выясняет, как расшифровать вариант ransomware
Брешь в программе-вымогателе публично раскрывается с помощью бесплатного инструмента дешифрования.
Жертвы могут восстанавливать файлы, заблокированные программой шифрования с уязвимостью шифрования.
Злоумышленники заметили ошибку и исправили проблему (иногда менее чем за 24 часа).
Кибергруппы продолжает атаки шифрования с исправленной уязвимостью.
Сценарий 2
Исследователь выясняет, как расшифровать вариант программы-вымогателя
Они информируют LEA, IR-фирмы, переговорщиков, CERT, ISAC или другие НПО.
Используя эти возможности для обмена разведданными, инструмент дешифрования вымогателя может быть передан жертвам, которые могут восстановить свои файлы, не платя выкуп.
Кибергруппы теряет деньги, которые они получили бы от жертвы за ключи дешифрования.
В конце концов, злоумышленники могут понять, что небольшой процент жертв платят выкуп за ключи дешифрования.
Если кибергруппа исправит проблему с шифрованием, инструмент дешифрования может быть выпущен публично.
Сценарий 3
Кибергруппа разоряется или уходит в отставку и решает бесплатно выпустить ключи дешифрования для всех жертв.
Исследователи создают общедоступный и бесплатный инструмент дешифрования с использованием ключей.
Жертвы, зашифрованные Ransomware, могут восстанавливать заблокированные файлы.
Сценарий 4
Организация-жертва поражена программой-вымогателем
Кибергруппа какое-то время находится внутри сети и имеет доступ к коммуникациям внутри организации-жертвы.
Жертва обращается в IR-фирму, чтобы отреагировать на атаку программы-вымогателя.
IR-фирма сообщила жертве, что вымогатель можно расшифровать.
Кибергруппа, которая все еще находится в сети, может перехватывать сообщения между жертвой и IR-фирмой.
Кибергруппа узнает, что доступен секретный инструмент дешифрования, поэтому они выясняют проблему и исправляют ее.
Инструмент дешифрования стал общедоступным.
Кибергруппа продолжает кампании, не беспокоясь об инструменте дешифрования, предотвращающем получение выкупа (если в программе-вымогателе нет нескольких уязвимостей).
Сценарий 5
Третья сторона (агентство LEA или иное) получает ключи дешифрования с помощью запрета.
Выпущен общедоступный и бесплатный инструмент дешифрования с использованием готовых ключей дешифрования.
Жертвы, зашифрованные программой-вымогателем, могут восстанавливать заблокированные файлы.
Случаи из реального мира
В октябре 2019 года жертвы атак программ-вымогателей Nemty могли радоваться после того, как исследователи успешно реконструировали три версии вредоносного ПО и смогли расшифровать заблокированные файлы. Спустя несколько месяцев операторы Nemty решили закрыть Ransomware-as-a-Service (RaaS) в апреле 2020 года. В сообщении на форуме по борьбе с киберпреступностью операторы Nemty заявили, что они закрываются и становятся частными. Несмотря на победу над Nemty, разработчики шифратора позже вернулись с новым вариантом, названным Nefilim, для атак против крупных организаций. Для Nefilim не было предоставлено никаких дешифраторов, и новые исследования показывают, что операторы вымогателей с тех пор снова переименовались в вымогателей Karma.
В январе 2021 года одна группа исследователей обнаружила недостаток дешифрования DarkSide и решила сделать бесплатный и общедоступный инструмент для жертв. Операторы DarkSide загрузили бесплатный инструмент и менее чем через 24 часа объявили, что устранили уязвимость в программе-вымогателе. Однако первые исследователи, возможно, не знали, но другие реверс-инженеры также знали об этой уязвимости и могли помочь жертвам с расшифровкой, без предупреждения DarkSide. К сожалению, через несколько месяцев после того, как бесплатный инструмент дешифрования был выпущен и криптографическая ошибка была исправлена, DarkSide ударил по Colonial Pipeline, вызвав топливный кризис в США. Потенциально мог существовать сценарий, при котором, если бы инструмент дешифрования не был обнародован в то время, исследователи могли бы помочь ФБР расшифровать DarkSide без уплаты выкупа, предотвратив топливный кризис.
В июне 2021 года группа, стоящая за платформой Avaddon RaaS, прекратила работу и выпустила 2,934 ключа дешифрования, каждый из которых, как сообщается, соответствует определенной жертве. Однако это число намного превышает количество жертв, просочившихся на сайт утечки даркнета Avaddon - более 180 (источник). Количество ключей по сравнению с количеством жертв, просочившихся на сайт Avaddon Tor, также указывает на то, что наша видимость кампаний с программами-вымогателями туманна. Каждая из 40 (или около того) групп, у которых есть блог об утечках в даркнете, также, вероятно, запускает гораздо более крупные кампании, чем количество утечек.
В июле 2021 года инструмент удаленного мониторинга и управления (RMM) Kaseya VSA, используемый десятками MSP по всему миру, подвергся атаке с использованием программ-вымогателей. Злоумышленники, известные как REvil (или Sodinokibi), ответственные за атаку, потребовали выкуп в размере 70 миллионов долларов, но исчезли вскоре после объявления на их сайте утечки даркнета Happy Blog. Позже в прессе стало известно, что ФБР, по сообщениям, взломало серверы группы, украло главные ключи, смогло расшифровать всех жертв атаки Касеи, а также тех, кто был до нее. Однако REvil каким-то образом выяснил, что в системе есть злоумышленники, и исчез. К сожалению, у ФБР (которое пыталось нарушить или потенциально поймать REvil) в настоящее время возникают проблемы с законом из-за того, что после атаки Kaseya на срок до трех недель у него остались главные ключи, что привело к серьезным нарушениям работы MSP и их клиентов во всем мире. Расшифровщик версий REvil до атаки Kaseya с тех пор стал общедоступным.
https://blog.bushidotoken.net/2021/10/ransomware-decryption-intelligence.html
Фирма по кибербезопасности Emsisoft с этого лета тайно расшифровывает жертв BlackMatter, экономя жертвам миллионы долларов.
Emsisoft и ее технический директор Фабиан Восар помогают жертвам программ-вымогателей восстанавливать свои файлы с 2012 года, когда была запущена операция под названием ACCDFISA как первая современная программа-вымогатель.
С тех пор Восар и другие неустанно работают над поиском недостатков в алгоритмах шифрования программ-вымогателей, которые позволяют создавать дешифраторы.
Тем не менее, чтобы помешать кибергруппам исправить эти недостатки, Emsisoft незаметно работает с доверенными партнерами в правоохранительных органах и реагировании на инциденты, чтобы делиться новостями об этих дешифраторах, а не делать их общедоступными.
Секретный дешифратор BlackMatter
Вскоре после запуска программы BlackMatter Emsisoft обнаружила уязвимость, позволившую им создать дешифратор для восстановления файлов жертвы без уплаты выкупа.
Emsisoft немедленно уведомила правоохранительные органы, фирмы, ведущие переговоры о программах-вымогателях, фирмы по реагированию на инциденты, CERTS по всему миру и доверенных партнеров, предоставив информацию о дешифраторе.
Это позволило этим доверенным сторонам направлять жертв BlackMatter в Emsisoft для восстановления их файлов, а не платить выкуп.
«С тех пор мы были заняты тем, что помогали жертвам BlackMatter восстановить свои данные. С помощью правоохранительных органов, CERT и партнеров из частного сектора во многих странах мы смогли связаться с многочисленными жертвами, помогая им избежать требований на десятки миллионов долларов. , "объясняет Восар в своем блоге о дешифраторе BlackMatter.
Emsisoft также связывалась с жертвами, найденными с помощью образцов BlackMatter и записок о выкупе, публично загруженных на различные сайты.
Когда образцы BlackMatter становятся общедоступными, можно было извлечь записку о выкупе и получить доступ к переговорам между жертвой и кибергпуппой. После идентификации жертвы Emsisoft в частном порядке связывался с ними по поводу дешифратора, чтобы они не платили выкуп.
Когда жертвы начали отказываться платить, BlackMatter становился все более подозрительным к участников переговоров о программах-вымогателях.
Все хорошее когда-нибудь заканчивается
К сожалению, BlackMatter узнал о дешифраторе в конце сентября и смог исправить ошибки, позволившие Emsisoft расшифровать файлы жертв.
«Один из способов, которым BlackMatter мог узнать о существовании уязвимости, - это мониторинг сетей и сообщений компании после нарушения связи. Вот почему мы всегда рекомендуем жертвам переключаться на безопасный канал связи, например, в специальную группу Signal, также убедитесь, что ни одна из скомпрометированных сетей не участвует в общих процессах восстановления, - сказал Восар
Тем жертвам, которые были зашифрованы до конца сентября, Emsisoft все еще может помочь с помощью службы восстановления программ-вымогателей.
https://www.bleepingcomputer.com/news/security/blackmatter-ransomware-victims-quietly-helped-using-secret-decryptor/
Ранее в этом году исследователи Emsisoft обнаружили критическую уязвимость в программе-вымогателе BlackMatter, которая позволяла им помогать жертвам восстанавливать свои файлы без уплаты выкупа, предотвращая попадание миллионов долларов в руки киберпреступников. Работа велась тихо и конфиденциально, чтобы не предупредить операторов BlackMatter об ошибке.
За последнее десятилетие Emsisoft посвятила себя глобальной борьбе с шифраторами. Мы не только создали инструменты дешифрования, которые помогли более чем 6 миллионам жертв восстановить свои данные без уплаты выкупа, но также создали уникальную службу, которая помогает жертвам программ-вымогателей, которые заплатили выкуп, восстанавливать данные более эффективно.
За это время мы стали свидетелями появления и исчезновения многочисленных кибергрупп.
Возможно, самая распространенная причина - это финансовое удовлетворение. Злоумышленники проводят успешную кампанию, зарабатывают достаточно денег, чтобы их участники могли комфортно уйти на покой и прекратить свою деятельность. В других ситуациях выход больше связан с самосохранением, когда злоумышленники уходят из игры с программами-вымогателями после того, как привлекли слишком много нежелательного внимания.
Для предшественника BlackMatter, DarkSide, это был последний случай.
Краткая история
DarkSide был крупным игроком на рынке программ-вымогателей как услуги с августа 2020 года и в целом ориентировался на крупные организации частного сектора, которые могли позволить себе семизначные требования выкупа. Это была одна из самых активных группировок до начала мая 2021 года, когда кибергруппа атаковала крупнейшую систему трубопроводов для нефтепродуктов в США: Colonial Pipeline. Атака, которая привела к нехватке топлива и вынудила некоторые авиакомпании перенести рейсы, повлияла на повседневную жизнь миллионов людей на восточном побережье, привлекая большое внимание прессы, а также вызвав гнев властей США.
Ответные меры США были быстрыми. В считанные дни DarkSide потеряла контроль над частью своей критически важной инфраструктуры, включая биткойн-кошельки, содержащие выкуп в размере 4,4 миллиона долларов, который Colonial Pipeline поспешно заплатил в надежде быстро вернуться в рабочее состояние. Чувствуя давление, DarkSide ушел в тень - до конца июля 2021 года.
21 июля 2021 года на популярном андеграундном форуме появился новый пост пользователя BlackMatter:
Рекламодатель искал сторонников, которые могли бы предоставить доступ к корпоративным сетям компаний с годовым доходом более 100000000 долларов. Это обычная практика для операций «программа-вымогатель как услуга», когда различные аспекты атаки обычно передаются на аутсорсинг другим, более специализированным группам или отдельным лицам.
Вскоре после этого, 27 июля 2021 года, стало очевидно, кто был создатель этого загадочного объявления и почему они были готовы приобрести доступ к корпоративным сетям, когда в темной сети был обнаружен новый сайт утечки: BlackMatter Ransomware.
Одним из наиболее интересных аспектов сайта утечки BlackMatter является список запрещенных целей, которые не должны подвергаться атакам со стороны любого филиала BlackMatter. Отрасли в этом списке в значительной степени отражают отрасли, которые США определяют как критически важную инфраструктуру - те же отрасли, в которых в первую очередь возникли проблемы с DarkSide, и те отрасли, которые президент США Джо Байден объявил закрытыми для злонамеренной киберактивности в закрытая встреча с президентом России Владимиром Путиным в июне 2021 года. Но BlackMatter не собиралась и не собирается придерживаться своих собственных правил. С момента открытия места утечки кибергруппа атаковала критически важные объекты инфраструктуры США, включая центры анализа крови и организации в продовольственном и сельскохозяйственном секторе.
Когда 31 июля 2021 года мы впервые получили в руки реальную полезную нагрузку BlackMatter, первоначальные слухи о том, что BlackMatter может быть перерисовкой операции DarkSide, быстро подтвердились. Самая первая версия BlackMatter оказалась почти идентичной последней версии DarkSide, с той лишь разницей, что были незначительные дополнительные улучшения. За этой первой версией быстро последовало несколько новых итераций полезной нагрузки BlackMatter, и на момент написания последний внутренний номер версии полезной нагрузки достиг 2.0.
Повторение прошлых ошибок
Первоначальный запуск DarkSide не был безупречным. Например, 12 декабря 2020 года исследователи Emsisoft заметили ошибку, допущенную операторами DarkSide, которая позволила нам расшифровать данные, зашифрованные версией программы-вымогателя для Windows, без необходимости уплаты выкупа. Эту брешь кибергруппа исправила 12 января 2021 года. (p.s. после того как Bitdefender выпустил дешифратор, и и злоумышленники после этого внесли исправление в работу)
Публичное раскрытие наличия уязвимости в программе-вымогателе может предупредить злоумышленников о ее существовании, что приведет к немедленному устранению проблемы. Следовательно, в случае с кибергруппами, которые мы считаем технически сложными, такими как DarkSide / BlackMatter, мы не объявляем публично и не раскрываем наличие уязвимостей. Вместо этого мы сообщаем о наших возможностях дешифрования конфиденциально через сеть правоохранительных органов и доверенных лиц.
Зная прошлые ошибки DarkSide, мы были удивлены, когда BlackMatter представила изменение в своей полезной нагрузке ransomware, что позволило нам снова восстановить данные жертв без необходимости платить выкуп. Как только нам стало известно об ошибке, мы незаметно обратились к нашим партнерам, которые затем помогли нам охватить как можно больше жертв, прежде чем они заплатили выкуп BlackMatter.
С тех пор мы были заняты тем, что помогаем жертвам BlackMatter восстановить свои данные. С помощью правоохранительных органов, CERT и партнеров из частного сектора во многих странах мы смогли связаться с многочисленными жертвами, помогая им избежать требований на десятки миллионов долларов.
Однако не все шло гладко. Одна из самых больших проблем, с которыми мы столкнулись во время работы, связана с социальными сетями и Twitter в частности. Во время одного из наиболее громких инцидентов с BlackMatter в сентябре 2021 года произошла утечка информации о выкупе. Записки о выкупе, включая BlackMatter, содержат важную информацию, предназначенную только для жертвы, в том числе инструкции о том, как связаться с злоумышленником и связаться с ним.
Широкое сообщество информационной безопасности Twitter быстро уловило утечку, заполучило частную ссылку, предназначенную только для жертвы, и начало перехватывать переговоры, которые ведутся на коммуникационной платформе BlackMatter. Вскоре и жертва, и операторы BlackMatter столкнулись с массой оскорблений и троллинга. Кроме того, были сделаны скриншоты разговоров и распространены в сообществе Twitter, что побудило еще больше людей присоединиться к «веселью», быстро сорвав любой сбор разведывательной информации правоохранительными органами и исследователями безопасности в этом процессе.
Мы боремся с шифраторами более десяти лет, поэтому мы лучше, чем кто-либо, понимаем разочарование, которое сообщество информационных систем испытывает по отношению к злоумышленникам. Однако это привело к тому, что BlackMatter заблокировал их платформу и заблокировал нас и всех остальных в процессе.
Неизбежный конец
Читая этот пост, вы могли догадываться, к чему все это идет. В конце концов, если бы BlackMatter не догадались сами, что что-то не так, мы бы продолжили нашу работу в молчании. Но, к сожалению, несколько недель назад BlackMatter выпустила обновление, в котором исправлена ошибка, которую мы использовали для помощи жертвам.
Однако то, что эта конкретная уязвимость исчерпала себя, не означает, что наша работа завершена.
Fabian Wosar
https://blog.emsisoft.com/en/39181/on-the-matter-of-blackmatter/
Группа вымогателей Hive теперь также шифрует Linux и FreeBSD, используя новые варианты вредоносного ПО, специально разработанные для этих платформ.
Однако, как обнаружила словацкая компания по обеспечению безопасности в Интернете ESET, новые шифраторы Hive все еще находятся в разработке и по-прежнему не имеют функциональности.
Вариант Linux также оказался довольно глючным во время анализа ESET: шифрование полностью отказывалось, когда вредоносная программа запускалась с явным путем.
Он также поддерживает единственный параметр командной строки (-no-wipe). Напротив, программа-вымогатель Hive для Windows предлагает до 5 вариантов выполнения, включая завершение процессов и пропуск очистки диска, неинтересные файлы и старые файлы.
Версия программы-вымогателя для Linux также не запускает шифрование, если выполняется без привилегий root, поскольку она пытается сбросить записку о выкупе в корневых файловых системах скомпрометированных устройств.
«Как и в версии для Windows, эти варианты написаны на Golang, но строки, имена пакетов и имена функций были запутаны, вероятно, с помощью gobfuscate», - сказали в исследовательской лаборатории ESET.
Программы-вымогатели теперь заинтересованы в серверах Linux
Группа вымогателей Hive, действующая как минимум с июня 2021 года, уже поразила более 30 организаций, считая только жертв, которые отказались платить выкуп.
Это всего лишь одна из многих группировок программ-вымогателей, которые начали атаковать серверы Linux после того, как их корпоративные цели постепенно перешли на виртуальные машины для упрощения управления устройствами и более эффективного использования ресурсов.
Ориентируясь на виртуальные машины, операторы программ-вымогателей также могут зашифровать несколько серверов одновременно с помощью одной команды.
В июне исследователи заметили новый шифровальщик Linux-вымогателей REvil, предназначенный для виртуальных машин VMware ESXi, популярной корпоративной платформы виртуальных машин.
Технический директор Emsisoft Фабиан Восар сообщил BleepingComputer, что другие группы программ-вымогателей, такие как Babuk, RansomExx / Defray, Mespinoza, GoGoogle, DarkSide и Hellokitty, также создали свои собственные шифраторы для Linux.
«Причина, по которой большинство групп программ-вымогателей внедрили версию своих программ-вымогателей на базе Linux, состоит в том, чтобы нацеливаться именно на ESXi, - сказал Восар.
Шифровальщики-вымогатели HelloKitty и BlackMatter для Linux были позже обнаружены в дикой природе исследователями безопасности в июле и августе, что подтверждает заявление Восара.
Через месяц было обнаружено, что некоторые из этих вредоносных программ Linux также содержат ошибки и могут повредить файлы жертв во время шифрования.
В прошлом вымогатели Snatch и PureLocker также использовали в своих атаках варианты Linux.
https://www.bleepingcomputer.com/news/security/hive-ransomware-now-encrypts-linux-and-freebsd-systems/
BlackMatter прекращает свою работу из-за давления со стороны властей и недавних операций правоохранительных органов.
BlackMatter управляет частным веб-сайтом программы-вымогателя как услуги (RaaS), который аффилированные лица могут использовать для связи с основными операторами, открытия заявок в службу поддержки и получения новых сборок программ-вымогателей.
Сегодня исследовательской группе по безопасности VX-Underground был отправлен снимок экрана с сообщением, якобы опубликованным операторами BlackMatter 1 ноября на веб-сайте RaaS. Этот пост предупреждает аффилированные лица, что операция вымогателя прекратится через 48 часов.
Еще неизвестно, закрывается ли BlackMatter, поскольку с момента предупреждения аффилированным лицам прошло более 48 часов, а сайт оплаты Tor и сайт утечка данных группы продолжают работать.
Скорее всего, он будет переименован в новую программу-вымогатель
Однако, даже если BlackMatter прекратит работу, мы, скорее всего, увидим их возвращение в качестве другой группы в будущем.
Когда кибергруппы ощущают давление со стороны правоохранительных органов или нацелены на очень чувствительную организацию, они обычно прекращают свою деятельность и перезапускают ее под новым именем.
BlackMatter уже является ребрендингом операции DarkSide, которая закрылась после атаки на Колониальный трубопровод и ощущения полного давления со стороны международных правоохранительных органов.
Другие операции с программами-вымогателями, которые в прошлом подвергались ребрендингу, включают:
REvil to GandCrab
Maze to Egregor
Bitpaymer to DoppelPaymer to Grief
Nemty to Nefilim to Karma
Это только вопрос времени, когда операторы BlackMatter перезапустятся под другим именем.
https://www.bleepingcomputer.com/news/security/blackmatter-ransomware-claims-to-be-shutting-down-due-to-police-pressure/
+
Очень темные дела
BlackMatter и его жертвы
Андрей Жданов
специалист по проактивному поиску киберугроз Group-IB
https://blog.group-ib.ru/blackmatter2
После завершения работы Blackmatter Ransomware существующие филиалы перемещают свои жертвы на конкурирующий сайт Lockbit Ransomware для продолжения вымогательства.
В рамках этого отключения операторы Ransomware позволяют филиалам получать дешифры для существующих переговоров, чтобы они могли продолжать вымогательство.
В то время как инфраструктура Blackmatter по-прежнему живут, стало известно, что филиалы перемещают существующие жертвы на площадку переговоров Lockbit Ransomware.
В существующих чатах переговоров Blackmatter филиалы предоставляют жертвам ссылки на сайты TOR Lockbit, где для них новые страницы переговоров были настроенными для них.
На этих страницах переговоров Lockbit, филиалы Blackmatter продолжают договариваться с жертвами для получения выплаты выкупа.
После завершения рабты Revil и Blackmatter, Lockbit стал одним из крупнейших и самых успешных операций с вымогателем, работающим сегодня.
В то время как Blackmatter, скорее всего, будет ребрендом и вернуться в качестве новой операции по выпуску, их партнерство с Lockbit может причинить им боль в долгосрочной перспективе, поскольку они теряют опытные филиалы.
https://www.bleepingcomputer.com/news/security/blackmatter-ransomware-moves-victims-to-lockbit-after-shutdown/
Magniber теперь использует две уязвимости Internet Explorer и вредоносную рекламу, чтобы заразить пользователей и зашифровать их устройства.
Две уязвимости Internet Explorer отслеживаются как CVE-2021-26411 и CVE-2021-40444, причем обе имеют оценку серьезности CVSS v3 8,8.
Первый, CVE-2021-26411, был исправлен в марте 2021 года и представляет собой ошибку повреждения памяти, вызванную просмотром специально созданного веб-сайта.
Второй недостаток, CVE-2021-40444, - это удаленное выполнение кода в механизме рендеринга IE, вызванное открытием вредоносного документа.
Злоумышленники использовали CVE-2021-40444 как нулевой день до того, как Microsoft исправила его в сентябре 2021 года.
Magniber смещения фокуса
кибергруппа Magniber известна тем, что использует уязвимости для взлома систем и развертывания их программ-вымогателей.
В августе было замечено, что Magniber использует уязвимости PrintNightmare для взлома серверов Windows, на устранение которых Microsoft потребовалось некоторое время из-за их воздействия на печать.
Последняя деятельность Magniber направлена на использование уязвимостей Internet Explorer с помощью вредоносной рекламы, распространяющей наборы эксплойтов, как подтвердили исследователи Tencent Security, выявившие «свежие» полезные нагрузки.
Одним из возможных объяснений этого сдвига является то, что Microsoft в значительной степени устранила уязвимости PrintNightmare за последние четыре месяца и широко освещалась в средствах массовой информации, вынуждая администраторов развертывать обновления безопасности.
Другая причина, по которой Magniber, возможно, обратился к недостаткам Internet Explorer, заключается в том, что их относительно легко активировать, полагаясь исключительно на стимулирование любопытства получателя открыть файл или веб-страницу.
Может показаться странным нацеливаться на старый непопулярный браузер, такой как Internet Explorer. Однако StatCounter показывает, что 1,15% глобальных просмотров страниц по-прежнему происходят из IE.
Хотя это низкий процент, StatCounter отслеживает более 10 миллиардов просмотров страниц в месяц, что соответствует 115 000 000 просмотров страниц пользователями Internet Explorer.
Кроме того, гораздо сложнее настроить таргетинг на браузеры на базе Firefox и Chromium, такие как Google Chrome и Microsoft Edge, поскольку они используют механизм автоматического обновления, который быстро защищает пользователей от известных уязвимостей.
Угроза для азиатских фирм
Затем группа расширила сферу охвата и начала заражать китайские (включая Тайвань и Гонконг), сингапурские и малайзийские системы.
Эта область применения укрепилась, и сегодня Magniber доставляет неудобства почти исключительно азиатским компаниям и организациям.
С момента своего запуска программа-вымогатель Magniber находилась в стадии очень активной разработки, и ее полезная нагрузка была полностью переписана три раза.
В настоящее время он остается не взломанным, поэтому нет дешифратора, который помог бы вам восстановить файлы, зашифрованные с помощью этого штамма.
Наконец, Magniber не следует тенденции кражи файлов и двойного вымогательства, поэтому ущерб от их атак ограничивается шифрованием файлов.
Таким образом, регулярное резервное копирование в защищенных изолированных системах - очень эффективный способ борьбы с этой конкретной угрозой.
https://www.bleepingcomputer.com/news/security/magniber-ransomware-gang-now-exploits-internet-explorer-flaws-in-attacks/
Новая программа-вымогатель ALPHV, известная как BlackCat, была запущена в прошлом месяце и может стать самой сложной программой-вымогателем года с настраиваемым набором функций, позволяющим атаковать широкий спектр корпоративных сред.
Исполняемый файл программы-вымогателя написан на Rust, что нетипично для разработчиков вредоносных программ, но постепенно набирает популярность из-за его высокой производительности и безопасности памяти.
Команда MalwareHunterTeam обнаружила новую программу-вымогатель и сообщила BleepingComputer, что первая отправка идентификатора программы-вымогателя для новой операции была 21 ноября.
Программа-вымогатель названа разработчиками ALPHV и продвигается на русскоязычных хакерских форумах.
Команда MalwareHunterTeam назвала программу-вымогатель BlackCat из-за того, что на сайте оплаты Tor каждой жертвы используется один и тот же значок черного кота, а на сайте утечки данных используется кровавый кинжал, показанный ниже.
В свою очередь, аффилированные лица будут получать различные доли дохода в зависимости от размера выкупа. Например, при выплатах выкупа до 1,5 миллиона долларов партнерская программа зарабатывает 80%, 85% - до 3 миллионов долларов и 90% выплат более 3 миллионов долларов.
Изучение возможностей программы-вымогателя ALPHV BlackCat
Программа-вымогатель ALPHV BlackCat включает в себя множество расширенных функций, которые выделяют ее среди других программ-вымогателей. В этом разделе мы рассмотрим программу-вымогатель и то, как она работает, а также продемонстрируем тестовое шифрование из образца, предоставленного BleepingComputer.
Программа-вымогатель полностью управляется из командной строки, управляется человеком и имеет широкие возможности настройки, с возможностью использовать различные процедуры шифрования, распространяться между компьютерами, уничтожать виртуальные машины и виртуальные машины ESXi, а также автоматически стирать моментальные снимки ESXi для предотвращения восстановления.
Эти настраиваемые параметры можно найти с помощью аргумента командной строки --help, показанного ниже.
Каждый исполняемый файл программы-вымогателя ALPHV включает конфигурацию JSON, которая позволяет настраивать расширения, примечания к выкупу, способ шифрования данных, исключенные папки / файлы / расширения, а также службы и процессы, которые должны автоматически завершаться.
По словам злоумышленника, программа-вымогатель может быть настроена для использования четырех различных режимов шифрования, как описано в их сообщении о найме на хакерском форуме даркнета.
В ALPHV BlackCat также можно настроить учетные данные домена, которые можно использовать для распространения программ-вымогателей и шифрования других устройств в сети. Затем исполняемый файл извлечет PSExec в папку% Temp% и использует его для копирования программы-вымогателя на другие устройства в сети и выполнит ее для шифрования удаленного компьютера с Windows.
При запуске программы-вымогателя партнер может использовать консольный пользовательский интерфейс, который позволяет им отслеживать развитие атаки. На изображении ниже вы можете увидеть этот интерфейс, отображаемый, когда BleepingComputer зашифровал тестовое устройство, используя модифицированный исполняемый файл для добавления расширения .bleepin.
В примере, протестированном BleepingComputer, программа-вымогатель завершает процессы и службы Windows, которые могут предотвратить шифрование файлов. Эти завершенные процессы включают Veeam, программное обеспечение для резервного копирования, серверы баз данных, Microsoft Exchange, приложения Office, почтовые клиенты и процесс Steam, чтобы игроки не уходили.
Другие действия, предпринятые во время этого процесса «установки», включают очистку корзины, удаление теневых копий тома, сканирование других сетевых устройств и подключение к кластеру Microsoft, если таковой существует.
ALPHV BlackCat также использует API диспетчера перезапуска Windows для закрытия процессов или завершения работы служб Windows, сохраняя файл открытым во время шифрования.
Обычно при шифровании устройства программа-вымогатель использует случайное расширение имени, которое добавляется ко всем файлам и включается в записку о выкупе. Заметки о выкупе называются в формате «RECOVER- [extension] -FILES.txt», который в нашем примере выше - RECOVER-bleepin-FILES.txt.
Заметки о выкупе предварительно настраиваются аффилированным лицом, выполняющим атаку, и различаются для каждой жертвы. Некоторые примечания о выкупе включают типы украденных данных и ссылку на сайт утечки данных Tor, где жертвы могут предварительно просмотреть украденные данные.
У каждой жертвы также есть уникальный сайт Tor, а иногда и уникальный сайт утечки данных, что позволяет аффилированному лицу вести свои собственные переговоры.
Наконец, BlackCat утверждает, что он кроссплатформенный и поддерживает несколько операционных систем.
Кросс-платформенное программное обеспечение, т.е. если вы смонтируете диски Windows в Linux или наоборот, дешифратор сможет расшифровать файлы. - Оператор ALPHV.
Ниже приведены операционные системы, на которых злоумышленники якобы тестировали свои программы-вымогатели:
Вся линейка Windows от 7 и выше (проверено на 7, 8.1, 10, 11; 2008r2, 2012, 2016, 2019, 2022); XP и 2003 могут быть зашифрованы через SMB.
ESXI (проверено на 5.5, 6.5, 7.0.2u)
Debian (проверено на 7, 8, 9);
Ubuntu (проверено 18.04, 20.04)
ReadyNAS, Synology
Эксперт по программам-вымогателям и создатель ID Ransomware Майкл Гиллеспи проанализировал процедуру шифрования, используемую программой-вымогателем, и, к сожалению, не смог найти никаких слабых мест, которые могли бы позволить бесплатное дешифрование.
Функция токена доступа делает переговоры секретными
Давняя проблема, затрагивающая как жертв, так и операции программ-вымогателей, заключается в том, что образцы обычно просачиваются через сайты анализа вредоносных программ, обеспечивая полный доступ к переговорному чату между кибергруппой и их жертвой.
Чтобы этого не произошло, разработчики программы-вымогателя ALPHV BlackCat ввели аргумент командной строки --access-token = [access_token], который необходимо использовать при запуске шифровальщика.
Этот токен доступа используется для создания ключа доступа, необходимого для входа в переговорный чат на платежном сайте Tor. Поскольку этот токен не включен в образец вредоносного ПО, даже если он загружен на сайт анализа вредоносных программ, исследователи не смогут использовать его для доступа к сайту переговоров без уведомления о выкупе от фактической атаки.
Как и другие новые кибергруппы, ALPHV использует тактику тройного вымогательства, когда они крадут данные перед шифрованием устройств и угрожают опубликовать данные, если выкуп не уплачен.
В качестве дополнительного метода вымогательства злоумышленники угрожают жертвам DDoS до тех пор, пока они не заплатят выкуп.
В целом, это очень сложная программа-вымогатель, в которой злоумышленники четко учитывают все аспекты атак.
Когда операции вымогателей BlackMatter и REvil были прекращены под давлением правоохранительных органов, образовалась большая пустота, ожидающая, пока другой злоумышленник заполнит ее.
Очень вероятно, что у ALPHV BlackCat есть хорошие шансы его заполнить.
https://www.bleepingcomputer.com/news/security/alphv-blackcat-this-years-most-sophisticated-ransomware/
В ходе недавних атак AvosLocker сосредоточилась на отключении стоящих у них на пути решений безопасности конечных точек, перезагружая скомпрометированные системы в безопасном режиме Windows.
Эта тактика упрощает шифрование файлов жертв, поскольку большинство решений безопасности автоматически отключается после загрузки устройств Windows в безопасном режиме.
И их новый подход оказался весьма эффективным, поскольку количество атак, приписываемых конкретной группе, растет.
Шифрование в «безопасном режиме»
Согласно отчету главного исследователя SophosLabs Эндрю Брандта, операторы AvosLocker используют PDQ Deploy, законный инструмент развертывания для автоматизации управления исправлениями, чтобы разместить несколько пакетных сценариев Windows на целевой машине, что помогает им подготовить почву для атаки.
Эти сценарии изменяют или удаляют ключи реестра, принадлежащие определенным инструментам безопасности конечных точек, включая Защитник Windows и продукты от Kaspersky, Carbon Black, Trend Micro, Symantec, Bitdefender и Cylance.
Сценарии также создают новую учетную запись пользователя на скомпрометированной машине, называя ее «newadmin» и добавляя ее в группу пользователей «Администраторы».
Затем они настраивают эту учетную запись для автоматического входа в систему при перезагрузке системы в безопасном режиме с подключением к сети и отключают разделы реестра диалогового окна «Правовое уведомление», которые могут помешать автоматическому входу.
Наконец, скрипты выполняют команду перезагрузки, которая переводит компьютер в безопасный режим. Когда он снова заработает, полезная нагрузка программы-вымогателя запускается из местоположения контроллера домена.
Если автоматический процесс выполнения полезной нагрузки завершается неудачно, субъект может взять на себя ручное управление процедурой с помощью инструмента удаленного доступа AnyDesk.
«Предпоследним шагом в процессе заражения является создание ключа RunOnce в реестре, который безфайлово выполняет полезную нагрузку программы-вымогателя, откуда злоумышленники поместили ее на контроллер домена», - объясняет Брандт.
«Это похоже на то, что мы видели, как IcedID и другие программы-вымогатели делают как метод выполнения полезных нагрузок вредоносных программ, не позволяя файлам когда-либо касаться файловой системы зараженного компьютера».
Безопасный режим, используемый для простого обхода безопасности конечных точек
Этот же метод выполнения в безопасном режиме ранее использовался другими группами программ-вымогателей, включая REvil (также с автоматическим входом в систему), BlackMatter и Snatch, так что это явно пробел в безопасности, который необходимо устранить.
Благодаря этому простому, но эффективному приему даже адекватно защищенные машины могут стать беззащитными от цепочек выполнения программ-вымогателей.
Чтобы избежать появления произвольных команд перезагрузки на ваших машинах, убедитесь, что ваши инструменты безопасности могут обнаруживать и предотвращать добавление подозрительных ключей реестра.
Как подчеркивает Sophos в своем отчете,
https://www.bleepingcomputer.com/news/security/avoslocker-ransomware-reboots-in-safe-mode-to-bypass-security-tools/