Устройства QNAP NAS подверглись атакам программ-вымогателей ech0raix
Пользователи сетевых хранилищ (NAS) QNAP сообщают об атаках на свои системы с помощью программы-вымогателя eCh0raix, также известной как QNAPCrypt.
Злоумышленник, стоящий за этим конкретным вредоносным ПО, активизировал свою деятельность примерно за неделю до Рождества, взяв под контроль устройства с правами администратора.
Подскакивает количество атак перед Рождеством
Пользователи, управляющие системами QNAP и Synology NAS, регулярно сообщают об атаках программ-вымогателей eCh0raix, но около 20 декабря многие из них начали сообщать об инцидентах.
Скачок количества атак подтверждается службой вымогателей ID, количество заявок на которую начало расти 19 декабря и снизилось к 26 декабря.
Первоначальный вектор заражения пока неясен. Некоторые пользователи признают, что они были безрассудными и не защитили устройство должным образом (например, открыли доступ к Интернету через небезопасное соединение); другие утверждают, что уязвимость в Photo Station QNAP позволила злоумышленникам нанести ущерб.
Независимо от пути атаки, похоже, что злоумышленник eCh0raix создает пользователя в группе администраторов, что позволяет им шифровать все файлы в системе NAS.
Пользователи QNAP - некоторые из них используют устройство NAS в деловых целях - сообщили на форуме BleepingComputer, что вредоносная программа зашифровала изображения и документы.
Помимо всплеска числа атак, в этой кампании выделяется то, что злоумышленник неправильно ввел расширение для записки о выкупе и использовал расширение «.TXTT».
Важно отметить, что существует бесплатный дешифратор для файлов, заблокированных с помощью более старой версии (до 17 июля 2019 г.) вымогателя eCh0raix. Однако бесплатного решения для расшифровки данных, заблокированных последними версиями вредоносного ПО (версии 1.0.5 и 1.0.6), не существует.
Атаки с использованием eCh0raix / QNAPCrypt начались в июне 2019 года и с тех пор представляют собой постоянную угрозу. Ранее в этом году QNAP предупредил своих пользователей об очередном шквале атак eCh0raix в начале этого года, нацеленных на устройства со слабыми паролями.
Пользователи должны следовать рекомендациям QNAP, чтобы обеспечить надлежащую защиту своих устройств NAS и данных, которые они хранят.
QNAP предупреждает о программах-вымогателях, нацеленных на устройства NAS, открытые в Интернете
Сегодня компания QNAP предупредила клиентов о необходимости немедленно защитить подключенные к Интернету сетевые устройства хранения данных (NAS) от продолжающихся атак программ-вымогателей и грубой силы.
«QNAP призывает всех пользователей QNAP NAS следовать приведенным ниже инструкциям по настройке безопасности, чтобы обеспечить безопасность сетевых устройств QNAP», — говорится в опубликованном сегодня пресс-релизе тайваньского производителя NAS.
Компания предупредила пользователей, чтобы они проверяли, доступен ли их NAS через Интернет, открыв Security Counselor, встроенный портал безопасности для устройств QNAP NAS.
«Ваш NAS подключен к Интернету и подвергается высокому риску, если на приборной панели отображается сообщение «Служба системного администрирования может быть напрямую доступна с внешнего IP-адреса по следующим протоколам: HTTP».
QNAP рекомендует клиентам, у которых есть устройства NAS, подключенные к Интернету, предпринять следующие действия для их защиты от атак:
Отключите функцию переадресации портов маршрутизатора: перейдите в интерфейс управления маршрутизатора, проверьте настройки виртуального сервера, NAT или переадресации портов и отключите параметр переадресации порта службы управления NAS (порт 8080 и 433 по умолчанию).
Отключите функцию UPnP QNAP NAS: перейдите в myQNAPcloud в меню QTS, нажмите «Автоматическая настройка маршрутизатора» и снимите флажок «Включить переадресацию портов UPnP».
Производитель NAS также предоставляет подробные пошаговые инструкции по отключению соединений SSH и Telnet и изменению номера системного порта, изменению паролей устройств и включению защиты доступа к IP-адресу и учетной записи.
Предупреждение приходит после всплеска атак программ-вымогателей
Хотя компания не сообщила никаких других подробностей об этих активных атаках, BleepingComputer сообщил о клиентах QNAP, заявивших, что их системы были атакованы программой-вымогателем eCh0raix (также известной как QNAPCrypt).
Эти инциденты следуют за ростом активности прямо перед Рождеством и используют неизвестный вектор атаки.
Тем не менее, некоторые отчеты пользователей связывают успешные атаки программ-вымогателей с ненадлежащим образом защищенными устройствами, доступными в Интернете. Другие также утверждали, что злоумышленники использовали неустановленную уязвимость QNAP Photo Station.
Во время этих недавних атак BleepingComputer столкнулся с требованиями выкупа ech0raix в биткойнах на сумму от 1200 до 3000 долларов. Некоторым из них заплатили, потому что у жертв не было резервной копии зашифрованных файлов.
Устройства QNAP ранее становились мишенью злоумышленников, использующих программу-вымогатель eCh0raix в июне 2019 года и июне 2020 года, при этом производитель NAS также предупредил пользователей о новой серии атак eCh0raix, нацеленных на устройства со слабыми паролями, в мае 2021 года.
Linux-версия программы-вымогателя AvosLocker нацелена на серверы VMware ESXi
AvosLocker — это новейшая группа программ-вымогателей, которая добавила поддержку шифрования систем Linux к своим последним вариантам вредоносных программ, специально нацеленных на виртуальные машины VMware ESXi.
Хотя мы не смогли найти, какие цели были атакованы с помощью этого варианта Linux-вымогателя AvosLocker, известно по крайней мере об одной жертве, которая получила требование выкупа в размере 1 миллиона долларов.
Несколько месяцев назад AvosLocker также была замечена в рекламе своих последних вариантов программ-вымогателей, Windows Avos2 и AvosLinux, одновременно предупреждая своих партнеров не атаковать цели на постсоветском пространстве/СНГ.
«Наши новые варианты (avos2 / avoslinux) предлагают лучшее из обоих миров: высокую производительность и высокий уровень шифрования по сравнению с конкурентами», — заявили в данной кибергруппе.
Виртуальные машины ESXi остановлены до шифрования
После запуска в системе Linux AvosLocker отключит все машины ESXi на сервере с помощью следующей команды:
esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" список процессов vm | хвост -n +2 | awk -F $',' '{system("esxcli vm процесс kill --type=force --world-id=" $1)}'
Как только программа-вымогатель начнет работать на скомпрометированной системе, она добавит расширение .avoslinux ко всем зашифрованным файлам.
Он также сбрасывает заметки о выкупе, в которых просит жертв не выключать свои компьютеры, чтобы избежать повреждения файлов, и посетить onion-сайт для получения более подробной информации о том, как заплатить выкуп.
Исследователь безопасности MalwareHunterTeam сообщил, что AvosLocker начал использовать шифровальщик Linux с ноября 2021 года.
Программы-вымогатели переходят на Linux
AvosLocker — это новая группа, впервые появившаяся летом 2021 года и призывающая партнеров-вымогателей на подпольных форумах присоединиться к их недавно запущенной операции Ransomware-as-a-Service (RaaS).
Переход на целевые виртуальные машины ESXi согласуется с их корпоративными целями, которые недавно перешли на виртуальные машины для упрощения управления устройствами и более эффективного использования ресурсов.
Нацелившись на виртуальные машины, операторы программ-вымогателей также используют более простое и быстрое шифрование нескольких серверов с помощью одной команды.
С октября программа-вымогатель Hive начала шифровать системы Linux и FreeBSD, используя новые варианты вредоносного ПО, через несколько месяцев после того, как исследователи обнаружили программу-шифровальщик REvil для Linux, нацеленную на виртуальные машины VMware ESXi.
Технический директор Emsisoft Фабиан Восар сообщил, что другие кибергруппы, включая Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide и Hellokitty, также создали и использовали свои собственные шифраторы для Linux.
«Причина, по которой большинство групп вымогателей внедрили версии своих программ-вымогателей на базе Linux, заключается в том, что они нацелены именно на ESXi», — пояснил Восар.
Варианты программ-вымогателей HelloKitty и BlackMatter для Linux также были обнаружены исследователями безопасности в дикой природе в июле и августе, что еще раз подтверждает заявление Восара. Операции программ-вымогателей Snatch и PureLocker также наблюдались с использованием шифровальщиков Linux в прошлом.
В России арестованы члены кибергруппы REvil, изъяты 6,6 млн долларов
Федеральная служба безопасности (ФСБ) РФ заявляет, что ликвидировала кибергруппу REvil
В результате полицейских рейдов по 25 адресам задержано более десятка членов банды, говорится в сегодняшнем пресс-релизе российского спецслужбы.
«Основой для проведения оперативно-розыскных мероприятий стало обращение компетентных органов США, сообщивших о лидере преступного сообщества и его причастности к посягательствам на информационные ресурсы иностранных высокотехнологичных компаний путем внедрения вредоносных программ, шифрования информации и вымогательства денежных средств. для его расшифровки» - ФСБ России
Российские власти задержали 14 человек, подозреваемых в участии в операции REvil по программе-вымогателю как услуге (RaaS), и конфисковали криптовалюту и фиатные деньги следующим образом:
более 426 млн рублей (примерно $5,5 млн)
600 тысяч долларов США
500 тысяч евро (примерно 570 000 долларов США)
Российские власти также конфисковали 20 роскошных автомобилей, купленных на деньги, полученные в результате кибератак, компьютерное оборудование и криптовалютные кошельки, которые использовались для разработки и поддержания работы RaaS.
Рейды прошли по адресам в Москве, Санкт-Петербурге, Ленинградской и Липецкой областях.
ФСБ утверждает, что смогла установить всех членов группы REvil, задокументировать их незаконную деятельность и установить их участие в «незаконном обороте платежных средств».
Помимо создания вредоносного ПО для шифрования файлов и его развертывания в корпоративных сетях по всему миру, участники REvil также занимались кражей денег с банковских счетов иностранных граждан.
«В результате совместных действий ФСБ и МВД России организованное преступное сообщество прекратило существование, информационная инфраструктура, используемая в преступных целях, обезврежена» ФСБ России
В ФСБ говорят, что проинформировали представителей компетентных органов США о результатах операции.
Программа-вымогатель Qlocker возвращается на NAS-устройства QNAP по всему миру
Злоумышленники, стоящие за программой-вымогателем Qlocker, снова нацелены на открытые в Интернете устройства QNAP Network Attached Storage (NAS) по всему миру.
Qlocker ранее нацеливался на клиентов QNAP в масштабной кампании по вымогательству, которая началась в течение недели с 19 апреля, перемещая файлы жертв в защищенные паролем архивы 7-zip с расширением .7z после взлома их устройств NAS.
QNAP предупредил, что злоумышленники использовали жестко запрограммированную уязвимость учетных данных CVE-2021-28799 в приложении HBS 3 Hybrid Backup Sync, чтобы взломать устройства пользователей и заблокировать их файлы.
Однако для некоторых клиентов QNAP, ставших мишенью прошлогодней кампании вымогателей Qlocker, предупреждение пришло слишком поздно после того, как злоумышленники вымогали деньги у сотен пользователей QNAP.
В общей сложности затронутые пользователи QNAP потеряли около 350 000 долларов в течение одного месяца после уплаты выкупа в размере 0,01 биткойна (стоимостью около 500 долларов в то время), чтобы получить пароль, необходимый для восстановления их данных.
Qlocker возвращается в новой кампании 2022 года
Новая кампания по борьбе с вымогателями Qlocker началась 6 января, и она сбрасывает заметки о выкупе под названием !!!READ_ME.txt на взломанные устройства.
Эти заметки о выкупе также включают адрес сайта Tor (gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion), который жертвам предлагается посетить, чтобы получить дополнительную информацию о том, сколько им придется заплатить, чтобы восстановить доступ к своим файлам.
Страницы жертв Tor, просматриваемые BleepingComputer с момента начала этой новой серии атак Qlocker, отображают требования выкупа в диапазоне от 0,02 до 0,03 биткойнов.
Дополнительную информацию о том, что делать, если кампания вымогателя QLocker2 затронула вас, можно найти в этой теме поддержки (тему кампании Qlocker 2021 можно найти здесь).
Вы также можете ознакомиться со старым руководством о том, как восстановить данные с устройств NAS, скомпрометированных в результате прошлогодних атак программы-вымогателя Qlocker.
С момента возвращения Qlocker 6 января затронутые пользователи QNAP отправили в службу ID-Ransomware десятки заметок с требованием выкупа и зашифрованных файлов.
К сожалению, Qlocker — не единственная программа-вымогатель, нацеленная на устройства QNAP NAS, о чем свидетельствует всплеск атак программы-вымогателя ech0raix, начавшийся прямо перед Рождеством.
Ранее в этом месяце компания также предупредила своих клиентов о необходимости защитить устройства NAS, открытые в Интернете, от продолжающихся атак программ-вымогателей и грубой силы, отключив переадресацию портов на своих маршрутизаторах и функцию UPnP на своих устройствах.
В прошлом году QNAP также уведомила клиентов о необходимости защитить свои устройства от входящих атак, в том числе от программ-вымогателей Agelocker и eCh0raix.
Производитель NAS рекомендует применять следующие передовые методы, если вы хотите защитить свое устройство QNAP от дальнейших атак.
Новый шифратор White Rabbit связан с хакерской группой FIN8
Недавно в дикой природе появилось новое семейство программ-вымогателей под названием «White Rabbit», и, согласно недавним исследованиям, оно может быть побочной операцией хакерской группы FIN8.
Простой инструмент для двойного вымогательства
Первое публичное упоминание о программе-вымогателе White Rabbit было в твите эксперта по программам-вымогателям Майкла Гиллеспи, который искал образец вредоносного ПО.
В новом отчете Trend Micro исследователи анализируют образец программы-вымогателя White Rabbit, полученный во время атаки на банк США в декабре 2021 года.
Исполняемый файл программы-вымогателя представляет собой небольшую полезную нагрузку размером 100 КБ и требует ввода пароля при выполнении командной строки для расшифровки вредоносной полезной нагрузки.
Пароль для выполнения вредоносной полезной нагрузки ранее использовался другими операциями программ-вымогателей, включая Egregor, MegaCortex и SamSam.
После запуска с правильным паролем программа-вымогатель сканирует все папки на устройстве и шифрует целевые файлы, создавая примечания о выкупе для каждого зашифрованного файла.
Например, файл с именем test.txt будет зашифрован как test.txt.scrypt, а примечание о выкупе будет создано с именем test.txt.scrypt.txt.
При шифровании устройства также используются съемные и сетевые диски, при этом системные папки Windows исключаются из шифрования, чтобы предотвратить вывод операционной системы из строя.
Записка о выкупе информирует жертву о том, что ее файлы были похищены, и угрожает опубликовать и/или продать украденные данные, если требования не будут выполнены.
Крайний срок для выплаты выкупа жертвой установлен на четыре дня, после чего субъекты угрожают отправить украденные данные в органы по защите данных, что приводит к штрафам за утечку данных GDPR.
Доказательства украденных файлов загружаются в такие сервисы, как «paste[.]com» и «file[.]io», а жертве предлагается канал общения в чате с действующими лицами на сайте переговоров Tor.
Сайт Tor включает в себя «Главную страницу», используемую для отображения доказательств украденных данных, и раздел чата, где жертва может общаться с злоумышленниками и договариваться о требовании выкупа
Ссылки на FIN8
Как отмечается в отчете Trend Micro, доказательства связи FIN8 и «Белого кролика» обнаруживаются на этапе развертывания программы-вымогателя.
В частности, новая программа-вымогатель использует невиданную ранее версию Badhatch (также известную как «Sardonic»), бэкдор, связанный с FIN8.
Как правило, эти субъекты хранят свои собственные бэкдоры при себе и продолжают разрабатывать их в частном порядке.
Этот вывод также подтверждается другим отчетом о том же семействе программ-вымогателей, подготовленным исследователями Lodestone.
Они также обнаружили Badhatch в атаках «Белого кролика», а также заметили артефакты PowerShell, похожие на активность, связанную с FIN8 прошлым летом.
В отчете Lodestone делается вывод: «Lodestone выявил ряд TTP, предполагающих, что White Rabbit, если он действует независимо от FIN8, имеет тесные отношения с более известной группой угроз или имитирует их».
На данный момент White Rabbit ограничился тем, что нацелился только на несколько организаций, но считается новой угрозой, которая в будущем может превратиться в серьезную угрозу для компаний.
На этом этапе его можно сдержать, приняв стандартные меры по борьбе с программами-вымогателями, например следующие:
Развертывание многоуровневых решений для обнаружения и реагирования.
Создайте сценарий реагирования на инциденты для предотвращения атак и восстановления.
Проведите моделирование атак программ-вымогателей, чтобы выявить пробелы и оценить производительность.
Выполняйте резервное копирование, тестируйте резервные копии, проверяйте резервные копии и сохраняйте резервные копии в автономном режиме.
ФБР связывает программу-вымогатель Diavol с кибергруппой TrickBot
ФБР официально связало операцию по вымогательству Diavol с группой TrickBot, разработчиками вредоносного ПО, стоящего за печально известным банковским трояном TrickBot.
TrickBot, также известная как Wizard Spider, является разработчиком вредоносных программ, которые годами разрушали корпоративные сети, обычно приводя к атакам программ-вымогателей Conti и Ryuk, проникновению в сеть, финансовому мошенничеству и корпоративному шпионажу.
TrickBot наиболее известна своим одноименным банковским трояном TrickBot, но также стоит за разработкой бэкдоров BazarBackdoor и Anchor.
Предыдущий анализ связывал Diavol с TrickBot Group
В июле 2021 года исследователи из FortiGuard Labs опубликовали анализ новой программы-вымогателя под названием Diavol (по-румынски «дьявол»), нацеленной на корпоративных жертв.
Исследователи видели, как полезные нагрузки программ-вымогателей Diavol и Conti были развернуты в сети в ходе одной и той же атаки программ-вымогателей в начале июня 2021 года.
После анализа двух образцов программ-вымогателей были обнаружены сходства, такие как использование ими асинхронных операций ввода-вывода для организации очереди шифрования файлов и почти идентичные параметры командной строки для одной и той же функциональности.
В то время не было достаточно доказательств, чтобы официально связать две операции.
Однако месяц спустя исследователи IBM X-Force установили более сильную связь между программой-вымогателем Diavol и другими вредоносными программами TrickBot Gang, такими как Anchor и TrickBot.
ФБР связывает вирус-вымогатель Diavol с группой TrickBot
«ФБР впервые узнало о программе-вымогателе Diavol в октябре 2021 года. Diavol связан с разработчиками из Trickbot Group, которые несут ответственность за банковский троян Trickbot», — говорится в новом бюллетене FBI Flash.
С тех пор ФБР получало требования о выкупе в размере от 10 000 до 500 000 долларов, причем после переговоров о выкупе принимались более низкие платежи.
Эти суммы резко контрастируют с более высокими выкупами, требуемыми другими программами-вымогателями, связанными с TrickBot, такими как Conti и Ryuk, которые исторически просили многомиллионные выкупы.
Например, в апреле операция по вымогательству Conti потребовала 40 миллионов долларов от школьного округа округа Бровард во Флориде и 14 миллионов долларов от производителя чипов Advantech.
ФБР, вероятно, смогло официально связать Diavol с бандой TrickBot после ареста Аллы Витте, латвийки, участвовавшей в разработке программы-вымогателя для групп вредоносных программ.
Виталий Кремез, генеральный директор AdvIntel, отслеживавший операции TrickBot, сообщил BleepingComputer, что Витте отвечал за разработку нового вымогателя, связанного с TrickBot.
«Алла Витте сыграла решающую роль в операциях TrickBot и, основываясь на предыдущем глубоком состязательном анализе AdvIntel, она отвечала за разработку программы-вымогателя Diavol и внешнего/внутреннего проекта, предназначенного для поддержки операций TrickBot со специальным программным обеспечением-вымогателем с обратным подключением ботов между TrickBot и Diavol», — сказал Кремез в разговоре с BleepingComputer.
«Другое название программы-вымогателя Diavol — программа-вымогатель Enigma, которую использовала команда TrickBot до ребрендинга Diavol».
Рекомендация ФБР содержит многочисленные индикаторы компрометации и меры по устранению последствий для Diavol, что делает ее незаменимой для всех специалистов по безопасности и администраторов Windows/сетей.
Следует отметить, что программа-вымогатель Diavol изначально создавала заметки о выкупе под названием «README_FOR_DECRYPT.txt», как указано в бюллетене ФБР, но BleepingComputer видел, как банда вымогателей в ноябре переключилась на заметки о выкупе под названием «Warning.txt».
- Внедрить план восстановления для обслуживания и хранения нескольких копий конфиденциальных или проприетарные данные и серверы в физически отдельном, сегментированном и безопасном месте(например, жесткий диск, запоминающее устройство, облако).
- Внедрить сегментацию сети и поддерживать автономные резервные копии данных, чтобы гарантировать ограниченное вмешательство в организацию.
- Регулярно создавайте резервные копии данных, защищайте паролем резервные копии в автономном режиме. Убедитесь, что копии важных данные недоступны для модификации или удаления из системы, в которой данные хранятся.
- Установите и регулярно обновляйте антивирусное программное обеспечение на всех хостах и включите обнаружение.
- Устанавливайте обновления/исправления операционных систем, программного обеспечения и встроенного программного обеспечения, как только выпускаются обновления/патчи.
- Проверьте контроллеры домена, серверы, рабочие станции и активные каталоги на наличие новых или нераспознанных учетных записи пользователей.
- Аудит учетных записей пользователей с административными привилегиями и настройка контроля доступа с наименьшими привилегиями в виду. Не давайте всем пользователям права администратора.
= Отключите неиспользуемые порты.
- Рассмотрите возможность добавления баннера к электронным письмам, полученным из-за пределов вашей организации.
- Отключить гиперссылки в полученных электронных письмах.
- По возможности используйте многофакторную аутентификацию.
- Используйте надежные пароли и регулярно меняйте пароли к сетевым системам и
учетным записям, реализуя кратчайший приемлемый срок для смены пароля. Избегайте
повторное использование паролей для разных учетных записей.
- Требовать учетные данные администратора для установки программного обеспечения.
= Используйте только безопасные сети и избегайте общедоступных сетей Wi-Fi. Рассмотрим установку и с помощью VPN.
- Сосредоточьтесь на осведомленности и обучении в области кибербезопасности. Регулярно проводите обучение пользователей принципам и методам информационной безопасности, а также общей кибербезопасности, рискам и уязвимостям (например, программы-вымогатели и фишинг).
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Один источник, чтобы управлять ими всеми: в погоне за AVADDON
Модель RaaS снижает барьер входа в мир киберпреступности, в результате чего количество атак программ-вымогателей, которые мы наблюдаем, растет как никогда раньше.
За последние несколько лет программы-вымогатели стали одним из основных источников дохода в экосистеме киберпреступности, с более частым вымогательством путем шантажа жертв, угроз обнародования украденных данных и, в некоторых случаях, нанесения им распределенного отказа в обслуживании ( DDoS-атаки.
В этом сообщении блога исследуется активность, сходства и совпадения между несколькими семействами программ-вымогателей, связанных с программой-вымогателем AVADDON, которые служат примером для понимания того, как операторы программ-вымогателей думают и продолжают получать прибыль в постоянно развивающейся экосистеме киберпреступности.
Различные сервисы RaaS преобладали в компрометации критически важных целей, что приводило к серьезным воздействиям на сети жертв и к значительным требованиям выкупа. AVADDON — одна из таких служб вымогателей.
Злоумышленник, стоящий за службой вымогателей AVADDON, начал свою деятельность в июне 2020 года и продолжал свою деятельность до июня 2021 года. Служба, по-видимому, была быстро закрыта, а закрытые ключи шифрования были выпущены, поскольку правительства уделили приоритетное внимание борьбе с операциями программ-вымогателей с помощью нового законодательства и активизации правоохранительных операций.
Компания Mandiant заметила заметное совпадение между AVADDON и другими семействами программ-вымогателей, что указывает на возможность ребрендинга, чтобы снова войти в бизнес RaaS. Судя по рентабельности этих операций, почти наверняка многочисленные злоумышленники будут продолжать проводить операции с программами-вымогателями.
Служба вымогателей AVADDON
В июне 2020 года Mandiant сообщил, что Avaddon рекламирует партнерскую программу AVADDON по вымогательству (RaaS) на форумах exploit[.]in и xss[.]is. В марте 2021 года злоумышленник Avaddon опубликовал обновление для AVADDON RaaS, чтобы объявить о разработке AVADDON V2, а позже в том же году включил функцию DDoS, предназначенную для принуждения жертв к выплате выкупа.
Панель AVADDON была размещена в скрытой службе TOR (домен .onion) и была предоставлена аффилированным лицам AVADDON для отслеживания жертв и их платежей, отслеживания сборок, предоставления системы поддержки, а также просмотра статистики и связанных новостей. публикации. Как и в случае операций RaaS, прибыль AVADDON делится в соответствии с их Условиями обслуживания, указанными операторами AVADDON, изначально структурированными с 65% прибыли, полученной для аффилированного лица, и 35% для операторов службы вымогателей (это может быть изменено сервис RaaS). Однако это может варьироваться в зависимости от количества жертв на одного аффилированного лица, а это означает, что процент прибыли для аффилированного лица может быть выше, если количество вторжений значительно увеличится.
Филиалы
Компания Mandiant выявила несколько аффилированных лиц AVADDON, причастных к целенаправленным разрушительным атакам с использованием программ-вымогателей AVADDON.
В этих атаках использовались различные тактики, методы и процедуры (TTP), в том числе:
Скомпрометированные учетные данные от предыдущих вторжений. В одном случае Mandiant обнаружил доказательства того, что аффилированное лицо AVADDON работало с брокером первоначального доступа, чтобы закрепиться в среде жертвы.
Пользовательские вредоносные программы, такие как веб-оболочки BLACKCROW и DARKRAVEN, для поддержания доступа и взаимодействия со скомпрометированным сервером.
Общедоступный инструмент удаленного администрирования SYSTEMBC для взаимодействия со скомпрометированными хостами.
Протокол удаленного рабочего стола Windows (RDP) для бокового перемещения.
Атака WDigest на более раннюю версию в сочетании с SHARPDUMP или MIMIKATZ для вывода учетных данных в открытом виде из памяти.
Фреймворки и сценарии с открытым исходным кодом, такие как EMPIRE и POWERSPLOIT, для действий после эксплуатации.
Запланированная задача Windows для сохранения.
Общедоступные инструменты сканирования, такие как SoftPerfect Network Scanner, для внутренней разведки. Общедоступные инструменты для удаления руткитов, такие как GMER, PowerTool и TDSSKiller, для отключения программного обеспечения для защиты системы.
Служба ProtonMail для отправки и получения данных изначально на ранних этапах вторжения.
Общедоступный инструмент архивации 7Zip и инструмент синхронизации облачного хранилища MEGAsync для подготовки и извлечения данных.
Что касается TTP, то Mandiant отмечает, что для разных целей на разных этапах вторжения широко используются инструменты с открытым исходным кодом и общедоступные инструменты.
Соединение точек
Mandiant продолжает наблюдать за изощренными TTP и расширением сотрудничества между различными и специализированными субъектами угроз, каждый из которых играет определенную роль в операции вторжения, и наблюдал предыдущие случаи ребрендинга, когда новая служба программ-вымогателей согласовывалась с другой, что предполагает сотрудничество между операторами программ-вымогателей.
Mandiant сообщил о нескольких случаях потенциального ребрендинга и связях между RaaS, такими как семейства программ-вымогателей BLACKMATTER и SABBATH, и сообщил о возможности ребрендинга на AVADDON после закрытия RaaS.
Субъекты угроз, стоящие за RaaS, могут выбрать ребрендинг по разным причинам, включая исправление недостатков операционной безопасности и восприятие снижения риска того, что правоохранительные органы нарушат их работу.
Компания Mandiant отследила AVADDON и проанализировала его несколько версий вместе с потенциальными семействами программ-вымогателей, с которыми он имеет сходство. В апреле 2021 года компания Mandiant выявила многочисленные сервисы программ-вымогателей, рекламирующие на подпольных форумах под разными брендами, но имеющие определенные отношения с AVADDON еще в 2019 году.
Анализ программ-вымогателей AVADDON
AVADDON шифрует файлы, хранящиеся локально и на подключенных сетевых ресурсах. Он останавливает целевые процессы и службы перед шифрованием файлов. Компания Mandiant наблюдала за тремя основными версиями выпуска. Дополнительные сведения о различиях в методологии шифрования см. в разделе «Эволюция шифрования AVADDON».
Программа-вымогатель содержит возможности разведки хоста для получения системного идентификатора кода языка (LCID) и раскладки клавиатуры и завершает работу, если обнаружены следующие языки: русский, украинский, татарский (русский) или саха (русский). Это соответствует одной из обязательных политик, которой должны придерживаться филиалы AVADDON: полный запрет операций программ-вымогателей на территории Содружества Независимых Государств (СНГ).
AVADDON работает аналогично другим образцам программ-вымогателей и содержит встроенную конфигурацию. Конфигурация AVADDON хранится в виде глобальных переменных stdstring, которые инициализируются до main как глобальный инициализатор C++. Строки декодируются по мере необходимости во время выполнения. Все кодирование конфигурации выполняется с использованием Base64 и нескольких итераций арифметических операций с использованием жестко запрограммированного однобайтового ключа, который варьируется в зависимости от двоичного файла.
Поток выполнения AVADDON начинается с остановки и удаления служб и процессов, которые могут прервать его работу. Затем конфигурация запускает несколько команд, которые не позволяют пользователю выполнить восстановление из резервной копии. Наконец, программа-вымогатель начинает свою операцию шифрования, рекурсивно перебирая локальные диски и общие сетевые ресурсы, избегая при этом каталогов и файлов с определенными расширениями.
AVADDON ищет следующие строки, относящиеся к виртуальным машинам, резервным копиям и антивирусным службам, чтобы остановить и удалить их:
Следующие процессы остановлены. Программа-вымогатель хранит сокращенную форму полного имени процесса, но, похоже, она не используется во время идентификации или завершения процесса.
+
AVADDON удаляет теневые тома Windows и очищает корзину, чтобы избежать восстановления файлов. Затем он выполняет команды антивосстановления. Наконец, чтобы предотвратить перезапуск системы, AVADDON использует Windows Restart Manager, добавляя активно зашифрованные файлы в реестр Restart Manager.
Следующие каталоги исключены из процесса шифрования и одинаковы для разных версий AVADDON.
C:\Windows
C:\Program Files
C:\Users\All Users
C:\Users\Public
C:\Users\user\AppData\Local\Temp
C:\Program Files (x86)
C:\Users\user\AppData
C:\ProgramData
C:\Program Files\Microsoft\Exchange Server
C:\Program Files (x86)\Microsoft\Exchange Server
C:\Program Files\Microsoft SQL Server
C:\Program Files (x86)\Microsoft SQL Server
Кроме того, исключаются каталоги, содержащие следующие ключевые слова.
SYSTEMDRIVE
USERPROFILE
PROGRAMFILES(x86)
ProgramData
Program Files
ALLUSERSPROFILE
AppData
PUBLIC
TMP
Tor Browser
MSOCache
EFI
При шифровании файловой системы исключаются следующие расширения, чтобы обеспечить возможность восстановления системы после уплаты выкупа с помощью предоставленного расшифровщика.
Программа-вымогатель включает в себя опрос хоста как часть записки о выкупе. Опрос хоста состоит из двух частей, разделенных дефисом и закодированных в Base64. Первая часть представляет собой открытый текстовый идентификатор жертвы, вторая часть представляет собой зашифрованную RSA структуру данных JSON, содержащую поля:
ext: Encrypted file extension
rcid: AES key and file extension encrypted with RSA key and stored in hex format
hdd:Detected and connected drives to the host
hdd.name: Drive letter A-Z
hdd.size:Drive size in GB
hdd.type:Drive type local/network
lang:Default locale language
name:Hostname
Эволюция шифрования AVADDON
Первоначально AVADDON генерировал один ключ AES-256, находящийся в памяти во время процесса шифрования, этот ключ оставался резидентным до завершения процесса и использовался для шифрования каждого файла. Это позволило исследователям разработать инструмент дешифратора, выпущенный в феврале 2021 года на GitHub, злоупотребляя этой уязвимостью и удаляя криптографические материалы из приостановленного процесса. Разработчики программы-вымогателя исправили эту проблему, сгенерировав один ключ AES для каждого зашифрованного файла.
AVADDON при первоначальном выпуске использовал один ключ AES для шифрования всех файлов. Есть три способа восстановить сеансовый ключ AES файла:
Записка о выкупе, как часть идентификатора жертвы, требует закрытого ключа RSA злоумышленников.
К каждому файлу добавлен нижний колонтитул, содержащий сеансовый ключ, используемый для шифрования файла. Ключ можно извлечь с помощью закрытого ключа RSA.
Найдите резидентный ключ сеанса в памяти.
Позже AVADDON перешел к использованию метода «один ключ на файл», который разрешил третий вопрос поиска ключа, находящегося в памяти. Два других метода требуют закрытого ключа и поэтому защищены. Одно интересное примечание: ключ AES, сгенерированный и сохраненный в примечании о выкупе для более поздних версий, никогда не используется, только сеансовые ключи, хранящиеся в файле, верны, это остаток перехода к методологии «один ключ на файл» вместо одного ключа. который может быть сохранен один раз.
Анализ образцов AVADDON, содержащих исправление для шифрования файлов, показал замену используемых структур C++ на глобальные переменные, что указывает на быстрое исправление, сделанное злоумышленниками, разрабатывающими AVADDON.
Образцы, наблюдаемые позже в 2021 году с отметками времени PE от апреля 2021 года, включают такие улучшения, как добавление многопоточности IOCompletionPort и повторная замена этих глобальных переменных структурами, как в исходном выпуске.
Это указывает на то, что субъект угрозы реализовал быстрое исправление после выпуска дешифратора PoC, чтобы продолжить работу, пока разрабатывались улучшенные и более согласованные версии программного обеспечения.
Кроме того, в последних версиях AVADDON была функция принудительного перезапуска хоста-жертвы в безопасном режиме перед шифрованием файловой системы путем предоставления параметра командной строки «-safe» исполняемому файлу шифровальщика; имитируя другие службы RaaS, в которых реализованы аналогичные функции в попытке обойти антивирусное программное обеспечение и EDR.
QNAP предупреждает о новой программе-вымогателе DeadBolt, шифрующей устройства NAS
QNAP снова предупреждает клиентов о необходимости защитить свои сетевые устройства хранения данных (NAS), подключенные к Интернету, для защиты от продолжающихся и широко распространенных атак, нацеленных на их данные, с помощью нового штамма программы-вымогателя DeadBolt.
«DeadBolt широко нацелен на все NAS, подключенные к Интернету без какой-либо защиты, и шифрует данные пользователей с целью получения выкупа в биткойнах», — говорится в опубликованном сегодня заявлении компании.
«Ваш NAS подключен к Интернету и подвергается высокому риску, если на приборной панели отображается сообщение «Служба системного администрирования может быть напрямую доступна с внешнего IP-адреса по следующим протоколам: HTTP».
Всем пользователям QNAP настоятельно рекомендуется «немедленно обновить QTS до последней доступной версии», чтобы заблокировать входящие атаки программ-вымогателей DeadBolt.
Производитель NAS также советует клиентам немедленно отключить переадресацию портов на своем маршрутизаторе и функцию UPnP NAS QNAP, выполнив следующие действия:
Отключите функцию переадресации портов маршрутизатора: перейдите в интерфейс управления маршрутизатора, проверьте настройки виртуального сервера, NAT или переадресации портов и отключите параметр переадресации порта службы управления NAS (порт 8080 и 433 по умолчанию).
Отключите функцию UPnP QNAP NAS: перейдите в myQNAPcloud в меню QTS, нажмите «Автоматическая настройка маршрутизатора» и снимите флажок «Включить переадресацию портов UPnP».
Вы также можете использовать это подробное пошаговое руководство, чтобы отключить соединения SSH и Telnet, изменить номер системного порта и пароли устройств, а также включить защиту доступа к IP-адресу и учетной записи.
Группа программ-вымогателей DeadBolt начала атаковать пользователей QNAP 25 января, шифруя файлы на скомпрометированных устройствах NAS и добавляя к файлам расширение .deadbolt.
Злоумышленники не размещают заметки о выкупе на зашифрованных устройствах, а вместо этого они захватывают страницы входа в систему, чтобы отображать предупреждающие экраны с надписью «ВНИМАНИЕ: ваши файлы были заблокированы DeadBolt».
Экран выкупа просит жертв заплатить 0,03 биткойна (примерно 1100 долларов США) на уникальный биткойн-адрес, сгенерированный для каждой жертвы, утверждая, что ключ дешифрования будет отправлен на тот же адрес блокчейна в поле OP_RETURN после прохождения платежа.
На данный момент нет никаких подтверждений того, что злоумышленники действительно выполнят свое обещание отправить рабочий ключ дешифрования после уплаты выкупа.
Эти продолжающиеся атаки программ-вымогателей DeadBolt затрагивают только незащищенные устройства NAS, и, учитывая, что злоумышленники также заявляют об использовании ошибки нулевого дня, рекомендуется отключить их от Интернета, как рекомендует QNAP в сегодняшнем предупреждении.
Банда DeadBolt также просит QNAP заплатить 50 биткойнов (около 1,85 миллиона долларов) за нулевой день и главный ключ дешифрования для расшифровки файлов для всех пострадавших жертв.
Сегодняшнее предупреждение является третьим, выпущенным QNAP для предупреждения клиентов об атаках программ-вымогателей, нацеленных на их устройства NAS, открытые в Интернете, за последние 12 месяцев.
Ранее они были предупреждены об атаках программ-вымогателей eCh0raix в мае и атаках программ-вымогателей AgeLocker в апреле.
Linux-версия программы-вымогателя LockBit нацелена на серверы VMware ESXi
LockBit — одна из кибергрупп, чей шифровальщик Linux, как было обнаружено, фокусируется на шифровании виртуальных машин VMware ESXi.
Предприятия все чаще переходят на виртуальные машины для экономии компьютерных ресурсов, консолидации серверов и упрощения резервного копирования.
Из-за этого кибергруппы развили свою тактику для создания шифровальщиков Linux, специально предназначенных для популярных платформ виртуализации VMware vSphere и ESXi за последний год.
Хотя ESXi не является строго Linux, он имеет много общих характеристик, включая возможность запуска исполняемых файлов ELF64 Linux.
Lockbit нацелен на серверы VMware ESXi
В октябре LockBit начал продвигать новые функции своей операции Ransomware-as-a-Service на хакерских форумах RAMP, включая новый шифровальщик Linux, нацеленный на виртуальные машины VMware ESXi.
В новом отчете исследователи Trend Micro проанализировали шифровальщик Linux и объяснили, как он используется для атаки на установки VMWare ESXi и vCenter.
Шифрователи Linux не являются чем-то новым: Ранее сообщалось об аналогичных шифровальщиках в прошлом из операций HelloKitty, BlackMatter, REvil, AvosLocker и программ-вымогателей Hive.
Как и другие шифровальщики Linux, LockBit предоставляет интерфейс командной строки, позволяющий аффилированным лицам включать и отключать различные функции для адаптации своих атак.
Эти функции включают в себя возможность указать размер файла и количество байтов для шифрования, остановить ли запуск виртуальных машин или стереть свободное пространство после этого, как показано на изображении ниже.
Однако то, что выделяет шифровальщик LockBit linux, — это широкое использование утилит командной строки VMware ESXI и VMware vCenter для проверки того, какие виртуальные машины работают, и для их корректного завершения, чтобы они не были повреждены во время шифрования.
Полный список команд, видимых Trend Micro в шифраторе LockBit, приведен ниже:
Trend Micro заявляет, что шифровальщик использует AES для шифрования файлов и алгоритмы криптографии на эллиптических кривых (ECC) для шифрования ключей дешифрования.
С широким использованием VMware ESXI на предприятии все специалисты по защите сетей и безопасности должны ожидать, что каждая крупная операция по вымогательству уже разработала вариант Linux.
Делая это предположение, администраторы и специалисты по безопасности могут создавать соответствующие средства защиты и планы для защиты всех устройств в своих сетях, а не только устройств Windows.
Это особенно верно для операции LockBit, которая стала самой заметной операцией по борьбе с вымогателями после закрытия REvil и гордится скоростью и набором функций своих шифровальщиков.
Также очень важно помнить, что пока мы наблюдаем за кибергруппой, они также наблюдают за нами в ответ.
Это означает, что они отслеживают социальные каналы исследователей и журналистов на предмет новейших тактик, средств защиты и уязвимостей, которые они затем могут использовать против корпоративных целей.
В связи с этим группы постоянно совершенствуют свои методы шифрования и тактику, чтобы оставаться на шаг впереди систем безопасности и администраторов Windows.
ФБР делится техническими подробностями программы-вымогателя Lockbit и советами по защите
Федеральное бюро расследований (ФБР) опубликовало технические детали и индикаторы компрометации, связанные с атаками программ-вымогателей LockBit, в новом оперативном предупреждении, опубликованном в эту пятницу.
С перезапуском кибергруппа изменила дизайн сайтов Tor и переработала вредоносное ПО, добавив более продвинутые функции, включая автоматическое шифрование устройств в доменах Windows с помощью групповых политик Active Directory.
LockBit теперь также пытается устранить посредников, вербуя инсайдеров, чтобы предоставить им доступ к корпоративным сетям через виртуальную частную сеть (VPN) и протокол удаленного рабочего стола (RDP).
В январе было обнаружено, что LockBit также добавила в свой инструментарий шифровальщик Linux, предназначенный для серверов VMware ESXi.
Среди технических подробностей о том, как работает программа-вымогатель LockBit, ФБР также сообщило, что вредоносная программа поставляется со скрытым окном отладки, которое можно активировать в процессе заражения с помощью сочетания клавиш SHIFT + F1.
Как только он появится, его можно использовать для просмотра информации о процессе шифрования в режиме реального времени и отслеживания статуса уничтожения пользовательских данных.
Компании попросили сообщить об атаках программ-вымогателей LockBit
Хотя ФБР не сообщило, что вызвало это экстренное оповещение, оно попросило администраторов и специалистов по кибербезопасности поделиться информацией об атаках LockBit, нацеленных на сети их компаний.
«ФБР ищет любую информацию, которая может быть передана, [включая] пограничные журналы, показывающие связь с иностранными IP-адресами и с них, образец записки о выкупе, сообщения с злоумышленниками, информацию о биткойн-кошельке, файл дешифратора и / или доброкачественный образец зашифрованного файла», — говорится в сообщении федерального агентства.
«ФБР призывает получателей этого документа сообщать информацию о подозрительной или преступной деятельности в местное отделение ФБР.
«Сообщая любую связанную информацию киберотрядам ФБР, вы помогаете обмениваться информацией, которая позволяет ФБР отслеживать злоумышленников и координировать свои действия с частным сектором и правительством США для предотвращения будущих вторжений и атак».
ФБР также предоставляет меры по смягчению последствий, которые помогут защитникам защитить свои сети от попыток атак программ-вымогателей LockBit:
Требовать, чтобы все учетные записи с паролем (например, учетная запись службы, учетная запись администратора и учетная запись администратора домена) имели надежные уникальные пароли.
Насколько это возможно, требовать многофакторной аутентификации для всех служб.
Поддерживайте все операционные системы и программное обеспечение в актуальном состоянии
Удалите ненужный доступ к административным общим ресурсам
Используйте брандмауэр на основе хоста, чтобы разрешать подключения к административным общим ресурсам через блок сообщений сервера (SMB) только с ограниченного набора компьютеров администратора.
Включите защищенные файлы в операционной системе Windows, чтобы предотвратить несанкционированное изменение важных файлов.
Администраторы также могут помешать операторам программ-вымогателей обнаружить сети, приняв следующие меры:
Сегментируйте сети, чтобы предотвратить распространение программ-вымогателей
Идентифицируйте, обнаруживайте и исследуйте аномальную активность и потенциальный обход указанной программы-вымогателя с помощью инструмента сетевого мониторинга. Реализовать повременной доступ для учетных записей, установленных на уровне администратора и выше.
Отключить действия и разрешения командной строки и сценариев
Поддерживайте автономные резервные копии данных и регулярно выполняйте резервное копирование и восстановление
Убедитесь, что все данные резервного копирования зашифрованы, неизменны и охватывают всю инфраструктуру данных организации.
BlackCat (ALPHV), связана с кибергруппами BlackMatter и DarkSide
BlackCat/ALPHV — это новая многофункциональная программа-вымогатель, запущенная в ноябре 2021 года и разработанная на языке программирования Rust, что необычно для заражения программами-вымогателями.
Исполняемый файл программы-вымогателя обладает широкими возможностями настройки, а различные методы и параметры шифрования позволяют проводить атаки на широкий спектр корпоративных сред.
Краткая история ребрендинга программ-вымогателей
Многие операции с программами-вымогателями выполняются как программа-вымогатель как услуга (RaaS), где основные члены отвечают за разработку заражения программами-вымогателями и управление серверами, а аффилированные лица (также известные как «реклама») нанимаются для взлома корпоративных сетей и проведения атак. .
Эти первоклассные операции Ransomware-as-a-Service и их ребрендинг:
GandCrab to REvil: Операция по вымогательству GandCrab была запущена в январе 2018 года и закрыта в июне 2019 года после заявления о том, что она заработала 2 миллиарда долларов в виде выкупа. Они были перезапущены под названием REvil в сентябре 2019 года, но в конечном итоге закрылись в октябре 2021 года после того, как правоохранительные органы захватили их инфраструктуру.
Maze to Egregor: программа-вымогатель Maze начала работать в мае 2019 года и официально объявила о своем закрытии в октябре 2020 года. Однако считается, что в сентябре аффилированные лица и, вероятно, операторы переименовались в Egregor, который позже исчез после ареста участников в Украине.
DarkSide to BlackMatter: операция по вымогательству DarkSide была запущена в августе 2022 года и закрыта в мае 2021 года из-за операций правоохранительных органов, спровоцированных широко разрекламированной атакой на Colonial Pipeline. Они вернулись как BlackMatter 31 июля, но вскоре закрылись в ноябре 2021 года после того, как Emsisoft воспользовалась уязвимостью для создания расшифровщика, и серверы были захвачены.
Некоторые считают, что Conti была ребрендингом Ryuk, но источники сообщают, что обе они являются отдельными операциями, управляемыми TrickBot Group, и не связаны друг с другом.
С момента запуска программы-вымогателя BlackCat в ноябре представитель группы LockBit заявил, что ALPHV/BlackCat является ребрендингом DarkSide/BlackMatter.
The Record опубликовал интервью с бандой ALPHV/BlackCat, которая подтвердила подозрения, что они связаны с группой DarkSide/BlackMatter.
Аналитик по угрозам Emsisoft Бретт Кэллоу считает, что BlackMatter заменила их команду разработчиков после того, как Emsisoft воспользовалась уязвимостью, позволяющей жертвам бесплатно восстанавливать свои файлы и теряющей банду вымогателей миллионы долларов в виде выкупа.
«Хотя Alphv утверждают, что являются бывшими аффилированными лицами DS/BM, более вероятно, что они *являются* DS/BM, но пытаются дистанцироваться от этого бренда из-за репутационного удара, нанесенного после совершения ошибки, которая обошлась аффилированным лицам в несколько миллионов долларов. "Кэллоу написал вчера в твиттере.
Поскольку шифратор BlackCat был создан с нуля на языке программирования Rust, Фабиан Восар из Emsisoft сообщил, что такого сходства кодов больше не существует.
Тем не менее, Восар сказал, что есть сходство в функциях и файлах конфигурации, подтверждая, что это одна и та же группа, стоящая за операциями вымогателей BlackCat и DarkSide/BlackMatter.
Независимо от того, являются ли они просто бывшими аффилированными лицами, решившими запустить собственную операцию по вымогательству, или ребрендингом DarkSide/BlackMatter, они продемонстрировали способность проводить крупные корпоративные атаки и быстро накапливать жертв.
BlackCat станет операцией по вымогательству, за которой должны внимательно следить все правоохранительные органы, сетевые защитники и специалисты по безопасности.
повторяют свои ошибки
По иронии судьбы, то, что привело к краху операций DarkSide/BlackMatter, в конечном итоге может стать причиной быстрой кончины BlackCat/ALPHV.
На этой неделе BlackCat атаковала немецкого дистрибьютора бензина Oiltanking и поставщика нефти Mabanaft GmbH.
Эти атаки в очередной раз затронули цепочку поставок топлива и вызвали нехватку газа.
После четырех лет активности и многочисленных попыток уничтожения прозвучал похоронный звон TrickBot, поскольку его главные члены переходят под новое руководство, кибергруппа Conti, планирует заменить его более скрытным вредоносным ПО BazarBackdoor.
TrickBot — это вредоносная платформа Windows, которая использует несколько модулей для различных вредоносных действий, включая кражу информации, кражу паролей, проникновение в домены Windows, первоначальный доступ к сетям и доставку вредоносных программ.
TrickBot доминирует на рынке вредоносных программ с 2016 года, сотрудничая с кибергруппами ransomware и вызывая хаос на миллионах устройств по всему миру.
Ryuk изначально сотрудничала с TrickBot для первоначального доступа к работам, но была заменена Conti Ransomware, которая использовала вредоносное ПО в течение прошлого года для получения доступа к корпоративным сетям.
Conti берет на себя управление TrickBot
Исследователи компании Advanced Intelligence (AdvIntel), занимающейся киберпреступностью и противодействием, заметили, что в 2021 году Conti стала единственным бенефициаром высококачественного доступа к сети от TrickBot.
К этому времени основная команда разработчиков TrickBot уже создала более незаметную вредоносную программу BazarBackdoor, используемую в основном для удаленного доступа к ценным корпоративным сетям, где могут быть развернуты программы-вымогатели.
Поскольку троян TrickBot стал легко обнаруживаться антивирусными поставщиками, злоумышленники начали переключаться на BazarBackdoor для начального доступа к сетям, поскольку он был разработан специально для скрытого взлома важных целей.
Однако к концу 2021 года Conti удалось привлечь «нескольких элитных разработчиков и менеджеров» ботнета TrickBot, превратив операцию в свою дочернюю компанию, а не в партнера, отмечается в отчете AdvIntel.
AdvIntel сообщает, что BazarBackdoor перешел из набора инструментов TrickBot в автономный инструмент, разработка которого контролируется кибергруппой Conti.
Главный администратор Conti заявил, что они контролируют TrickBot. Однако, поскольку «бот мертв», они переводят Conti с TrickBot на BazarBackdoor в качестве основного способа получения первоначального доступа.
«После того, как Conti «приобрела» TrickBot, теперь у них много потенциальных клиентов с надежной почвой под ними, и Conti всегда найдет способ использовать имеющиеся таланты», — AdvIntel.
С момента своего запуска операция Conti придерживалась норм поведения, который позволил ей стать одной из самых устойчивых и прибыльных групп вымогателей, которую не беспокоят репрессии правоохранительных органов в отношении ее конкурентов.
AdvIntel говорит, что группа смогла вести свой обычный киберпреступный бизнес, приняв модель «основанную на доверии и команде» вместо работы со случайными аффилированными лицами, которые вызвали бы действия со стороны правоохранительных органов из-за организаций, которые они атаковали.
LockBit, Conti — самые активные программы-вымогатели, нацеленная на промышленный сектор
Атаки программ-вымогателей распространились на промышленный сектор в прошлом году до такой степени, что этот тип инцидентов стал угрозой номер один в промышленном секторе.
В 2021 году две группы программ-вымогателей, LockBit и Conti, наиболее активно компрометировали организации с помощью среды Industrial Control System (ICS)/Operational Technology (OT).
Угроза программ-вымогателей часто встречается в производственном секторе
В сегодняшнем отчете компании Dragos, занимающейся промышленной кибербезопасностью, подчеркивается, что промышленный сектор стал более привлекательной целью как для финансово мотивированных противников, так и для субъектов, связанных с группами, спонсируемыми государством.
Отслеживая активность угроз в промышленном секторе в прошлом году, компания обнаружила всплеск инцидентов с программами-вымогателями, нацеленными на сети АСУ ТП.
Согласно выводам Dragos, наиболее распространенными целями для групп программ-вымогателей были промышленные предприятия: 211 атак составили 65%, за ними следуют 35 успешных компрометаций компаний, работающих в сфере производства продуктов питания и напитков, и 27 атак на предприятия транспортного сектора.
Исследователи отмечают, что производственная вертикаль больше всего подвержена атакам, потому что этот «сектор часто наименее зрел в своих средствах защиты безопасности OT».
Обзор безопасности этих компаний выявляет тревожную тенденцию, говорят исследователи на основе данных, собранных во время взаимодействия с клиентами.
Многие организации имеют очень ограниченный обзор инфраструктуры, не могут должным образом сегментировать периметр сети, имеют много устройств с внешним подключением и большой процент общих учетных данных между корпоративной сетью (ИТ) и средой ОТ.
Описанные выше проблемы закладывают основу для успешных атак, позволяя злоумышленникам перемещаться из ИТ-сети в сегмент ОТ, даже если взлом последнего не является основной целью.
Это позволило угрозе программ-вымогателей стать причиной номер один компрометации в промышленном секторе, отмечают исследователи в отчете.
«Хотя программы-вымогатели в основном нацелены на корпоративные ИТ-системы, в ряде случаев они влияют на OT напрямую и в интегрированных средах ИТ и OT», — Dragos.
Получив доступ к ИТ-сети для выполнения компонента программы-вымогателя, злоумышленники могут перемещаться в OT-системы, что позволяет им запрашивать более крупные выкупы, оказывая более разрушительное воздействие.
Атаки LockBit и Conti в секторе АСУ ТП
Из групп вымогателей, атакующих промышленную инфраструктуру, наиболее активны LockBit и Conti, на их долю приходится 51% инцидентов.
По словам Dragos, две группы вымогателей несут ответственность за 166 атак на компании в секторе АСУ ТП, LockBit — за 103 инцидента, а Conti — за 63.
Угрозы программ-вымогателей не снижаются, несмотря на то, что правительства уделяют приоритетное внимание усилиям правоохранительных органов по привлечению к ответственности операторов программ-вымогателей как услуги (RaaS) и их аффилированных лиц.
Dragos полностью уверен, что эта угроза будет продолжать нарушать промышленные операции и среды OT в 2022 году из-за одного из следующих трех факторов:
Актеры интегрируют процессы уничтожения OT в полезную нагрузку программ-вымогателей
Операторы отключают среды OT, чтобы предотвратить распространение программ-вымогателей в системы OT из ИТ-сети.
Принятие упрощенной плоской структуры сети для снижения затрат и усилий по обслуживанию за счет уменьшения количества маршрутизаторов и коммутаторов, что приводит к менее безопасной среде из-за отсутствия сегментации.
DeadBolt теперь нацелен на устройства ASUSTOR и запрашивает мастер-ключ на 50 BTC
Программа-вымогатель DeadBolt теперь нацелена на устройства ASUSTOR NAS, шифруя файлы и требуя выкуп в размере 1150 долларов США в биткойнах.
Об этой волне атак впервые сообщили на форумах Reddit и BleepingComputer, а вскоре и на форумах ASUSTOR.
Подобно атакам программы-вымогателя DeadBolt, нацеленным на устройства QNAP NAS в прошлом месяце, злоумышленники утверждают, что используют уязвимость нулевого дня для шифрования устройств ASUSTOR NAS.
При шифровании файлов на устройстве ASUSTOR программа-вымогатель переименовывает файлы, добавляя к ним расширение .deadbolt. Экран входа в систему ASUSTOR также будет заменен запиской о выкупе с требованием 0,03 биткойна на сумму около 1150 долларов США, как показано ниже.
Хотя ASUSTOR не объяснил, как шифруются устройства NAS, некоторые владельцы ASUSTOR считают, что это уязвимость в медиасервере PLEX или EZ Connect, которая позволяет получить доступ к их устройствам.
ASUSTOR заявляет, что они расследуют атаки, и предоставили следующее заявление:
В ответ на атаки программы-вымогателя Deadbolt, затрагивающие устройства ASUSTOR, служба DDNS myasustor.com будет отключена на время расследования проблемы. ASUSTOR будет публиковать больше информации о новых разработках, поскольку мы расследуем и анализируем причины, чтобы гарантировать, что это не повторится. Мы по-прежнему стремимся помогать пострадавшим клиентам всеми возможными способами. Для вашей защиты мы рекомендуем следующие меры:
Измените порты по умолчанию, включая порты веб-доступа NAS по умолчанию 8000 и 8001, а также порты удаленного веб-доступа 80 и 443.
Отключите EZ Connect.
Закройте порты Plex и отключите Plex.
Сделайте немедленную резервную копию.
Отключите службы Terminal/SSH и SFTP.
Самое главное, не подключайте ваше устройство ASUSTOR к Интернету, чтобы оно не было зашифровано DeadBolt.
Если DeadBolt уже заразил ваше устройство, отсоедините кабель Ethernet и принудительно выключите устройство NAS, удерживая кнопку питания в течение трех секунд.
Не пытайтесь перезагрузить NAS, так как это приведет к удалению всех файлов. Вместо этого используйте эту контактную форму, чтобы запросить инструкции у технических специалистов ASUSTOR о том, как восстановить ваши файлы.
Неясно, все ли устройства ASUSTOR уязвимы для атак DeadBolt, но отчеты показывают, что модели AS6602T, AS-6210T-4K, AS5304T, AS6102T и AS5304T не подвержены атакам.
К сожалению, нет возможности бесплатно восстановить файлы, зашифрованные программой-вымогателем DeadBolt, и многие пострадавшие пользователи QNAP были вынуждены платить выкуп за восстановление файлов.
Прошивка для восстановления будет выпущена сегодня
Сегодня ASUSTOR планирует выпустить прошивку для восстановления, чтобы пользователи снова могли использовать свои устройства NAS. Однако это обновление микропрограммы не поможет восстановить зашифрованные файлы.
«Мы предполагаем, что сегодня наши инженеры службы поддержки выпустят прошивку для восстановления для пользователей, чей NAS был взломан, чтобы они могли снова использовать свой NAS. Однако зашифрованные файлы не могут быть восстановлены, если у пользователей нет резервных копий», — написал ASUSTOR на своей странице в Facebook.
К сожалению, этот процесс восстановления, скорее всего, удалит страницы заметок о выкупе и исполняемый файл вредоносного ПО, необходимые для расшифровки файлов, если выкуп будет уплачен, что исторически вызывало много проблем у владельцев QNAP.
Настоятельно рекомендуется, чтобы пользователи сделали резервную копию файлов index.cgi и ALL YOUR FILES HAVE BEEN LOCKED BY DEADBOLT.html перед запуском программного обеспечения для восстановления.
Эти файлы содержат информацию, необходимую для выплаты выкупа и получения ключа дешифрования, который владельцы затем могут использовать с дешифратором Emsisoft для DeadBolt.
Если выплачен выкуп, злоумышленники создадут биткойн-транзакцию на тот же биткойн-адрес, на который был выплачен выкуп, который содержит ключ дешифрования для жертвы. Ключ дешифрования находится под выводом OP_RETURN, как показано ниже.
Для тех, кому нужна помощь в процессе расшифровки или кто хочет узнать о распространенных проблемах, с которыми столкнулись устройства QNAP в прошлом месяце, вы можете ознакомиться с нашей темой поддержки программ-вымогателей DeadBolt.
Требование 50 биткойнов за мастер-ключ
Подобно атакам на устройства QNAP, DeadBolt пытается продать ASUSTOR информацию о предполагаемой уязвимости нулевого дня, используемой для взлома устройств NAS, и основного дешифрования для всех жертв.
В примечании о выкупе DeadBolt есть ссылка под названием «важное сообщение для ASUSTOR», при нажатии на которую отобразится сообщение от DeadBolt специально для ASUSTOR.
На этом экране злоумышленники DeadBolt продают информацию о предполагаемой уязвимости нулевого дня, если ASUSTOR заплатит им 7,5 биткойнов на сумму 290 000 долларов.
DeadBolt также пытается продать ASUSTOR главный ключ дешифрования для всех жертв и детали нулевого дня за 50 биткойнов на сумму 1,9 миллиона долларов.
«Выполните платеж в биткойнах в размере 50 BTC на счет bc1qgeghfv5wll35l5ttangzpjgz82y7lgwcp8se4a», — написали злоумышленники в сообщении QNAP.
«Вы получите универсальный главный ключ дешифрования (и инструкции), который можно использовать для разблокировки файлов всех ваших клиентов. Кроме того, мы также отправим вам все подробности об уязвимости нулевого дня на адрес [email protected]».
В операции вымогателя говорится, что нет другого способа связаться с ними, кроме как произвести платеж в биткойнах. Однако после оплаты они сообщают, что отправят информацию на адрес электронной почты [email protected].
Сомнительно, что ASUSTOR заплатит за вымогательство, поэтому, если программа-вымогатель DeadBolt зашифровала ваше устройство NAS, единственный способ восстановить файлы — это восстановить их из резервных копий или заплатить выкуп.
Основываясь на анализе программ-вымогателей, проведенном BleepingComputer в прошлом месяце, DeadBolt — это вредоносное ПО для Linux, которое использует шаблон для примечания о выкупе, который можно заменить на любого поставщика, как показано ниже:
Это не личная атака. Вы стали мишенью из-за недостаточной безопасности, обеспечиваемой вашим поставщиком ({VENDOR_NAME}).
Поэтому в будущем мы, вероятно, увидим атаки на других производителей NAS.
Программа-вымогатель Hive портирует свой шифровальщик Linux VMware ESXi на Rust
Программа-вымогатель Hive преобразовала свой шифровальщик VMware ESXi Linux в язык программирования Rust и добавила новые функции, чтобы специалистам по безопасности было труднее отслеживать переговоры жертвы о выкупе.
Поскольку предприятия все больше зависят от виртуальных машин для экономии компьютерных ресурсов, консолидации серверов и упрощения резервного копирования, злоумышленники создают специальные шифраторы, ориентированные на эти службы.
Шифровальщики Linux обычно нацелены на платформы виртуализации VMware ESXI, поскольку они наиболее часто используются на предприятии.
Хотя Hive уже некоторое время использует шифровальщик Linux для атак на серверы VMware ESXi, недавний образец показывает, что они обновили свой шифровальщик с помощью функций, впервые представленных операцией вымогателя BlackCat/ALPHV.
Hive заимствует функции у BlackCat
Когда программы-вымогатели атакуют жертву, они пытаются вести переговоры в частном порядке, сообщая жертвам, что если выкуп не будет выплачен, их данные будут опубликованы, и они пострадают от репутации.
Однако, когда образцы программ-вымогателей загружаются в общедоступные службы анализа вредоносных программ, они обычно обнаруживаются исследователями безопасности, которые могут извлечь записку о выкупе и следить за ходом переговоров.
Во многих случаях эти переговоры затем публикуются в Твиттере и других местах, что приводит к провалу переговоров.
BlackCat удалил URL-адреса согласования Tor из своего шифровальщика, чтобы этого не произошло. Вместо этого требовалось, чтобы URL-адрес передавался в качестве аргумента командной строки при запуске шифровальщика.
Эта функция не позволяет исследователям, обнаружившим образец, получить URL-адрес, поскольку он не включен в исполняемый файл и передается в исполняемый файл только во время выполнения.
Хотя Hive Ransomware уже требует имя пользователя и пароль для доступа к странице переговоров Tor жертвы, эти учетные данные ранее хранились в исполняемом файле шифровальщика, что облегчало их получение.
В новом шифровальщике Hive Linux, обнаруженном исследователем безопасности Group-IB, операция Hive теперь требует от злоумышленника указать имя пользователя и пароль для входа в качестве аргумента командной строки при запуске вредоносного ПО.
Копируя тактику BlackCat, программа-вымогатель Hive сделала невозможным получение учетных данных для входа в систему из образцов вредоносного ПО для Linux, поскольку учетные данные теперь доступны только в заметках о выкупе, созданных во время атаки.
Неизвестно, используют ли шифровщики Hive Windows этот новый аргумент командной строки в настоящее время, но если нет, мы, вероятно, вскоре увидим его добавление.
Hive продолжает копировать BlackCat, портируя свой Linux-шифровальщик с Golang на язык программирования Rust, чтобы сделать образцы программ-вымогателей более эффективными и трудными для обратного проектирования.
«Rust позволяет получить более безопасный, быстрый и эффективный код, а оптимизация кода усложняет анализ программы на Rust»
Поскольку шифрование виртуальных машин VMware ESXi является важной частью успешной атаки, программы-вымогатели постоянно совершенствуют свой код, чтобы не только повысить эффективность, но и сохранить секретность операций и переговоров.
По мере того, как все больше компаний переходят на виртуализацию своих серверов, разработчики программ-вымогателей не только сосредотачиваются на устройствах Windows, но и создают специальные шифраторы Linux, нацеленные на ESXi.
В связи с этим всем специалистам по безопасности и сетевым администраторам необходимо уделять пристальное внимание своим серверам Linux, чтобы обнаруживать признаки атак.
LockBit в течение нескольких месяцев скрывались в сети правительства США
Исследователи безопасности обнаружили, что региональное правительственное агентство США, скомпрометированное программой-вымогателем LockBit, имело злоумышленника в своей сети как минимум за пять месяцев до того, как полезная нагрузка была развернута.
Журналы, полученные со скомпрометированных машин, показали, что две группы угроз скомпрометировали их и занимались операциями разведки и удаленного доступа.
Злоумышленники попытались замести следы, удалив журналы событий, но фрагменты файлов остались, что позволило аналитикам угроз получить представление о злоумышленнике и его тактике.
По словам исследователей из компании по кибербезопасности Sophos, злоумышленник получил доступ к сети через открытые порты удаленного рабочего стола (RDP) в неправильно настроенном брандмауэре, а затем использовал Chrome для загрузки инструментов, необходимых для атаки.
В набор инструментов вошли утилиты для брутфорса, сканирования, коммерческая VPN и бесплатные инструменты, позволяющие управлять файлами и выполнять команды, такие как PsExec, FileZilla, Process Explorer и GMER.
Кроме того, хакеры использовали удаленный рабочий стол и программное обеспечение для удаленного управления, такое как ScreenConnect, а позже во время атаки AnyDesk.
Оттуда злоумышленники долго затаивались и просто пытались украсть ценные учетные данные, чтобы расширить свою компрометацию сети.
В какой-то момент они украли учетные данные администратора локального сервера, у которого также были права администратора домена, чтобы они могли создавать в других системах новые учетные записи с правами администратора.
На втором этапе атаки, начатой через пять месяцев после первоначального взлома, управление, по-видимому, взял на себя более подготовленный субъект, из-за чего Sophos предположила, что теперь за операцию отвечает субъект более высокого уровня.
«Характер активности, восстановленной из журналов и файлов истории браузера на скомпрометированном сервере, создал у нас впечатление, что злоумышленники, впервые проникшие в сеть, были не экспертами, а новичками, и что позже они могли передать контроль над своими удаленный доступ к одной или нескольким более сложным группам, которые, в конечном итоге, доставили полезную нагрузку программы-вымогателя» — Sophos
Новый этап начался с установки инструмента пост-эксплуатации Mimikatz и LaZagne для извлечения наборов учетных данных со скомпрометированного сервера.
Злоумышленники сделали свое присутствие более заметным, очистив журналы и выполнив перезагрузку системы с помощью удаленных команд, предупредив системных администраторов, которые отключили 60 серверов и сегментировали сеть.
Вторая ошибка во время ответа на этот инцидент отключила защиту конечной точки. С этого момента обе стороны вступили в открытое противоборство мер и контршагов.
«Имел место постоянный поток действий по настройке стола, поскольку злоумышленники сбрасывали учетные данные учетных записей, запускали инструменты сетевого перечисления, проверяли свои возможности RDP и создавали новые учетные записи пользователей, предположительно, чтобы дать себе варианты на случай, если они будут прерваны», — Sophos.
«В первый день шестого месяца атаки злоумышленник сделал большой ход, запустив Advanced IP Scanner и почти сразу же начав горизонтальное перемещение на несколько конфиденциальных серверов. В течение нескольких минут злоумышленник получил доступ к множеству конфиденциальных данных и закупил файлы», — сообщается в отчете Sophos.
Sophos присоединилась к усилиям по реагированию и отключила серверы, которые обеспечивали удаленный доступ злоумышленникам, но часть сети уже была зашифрована с помощью LockBit.
На нескольких машинах, несмотря на то, что файлы были переименованы с использованием суффикса LockBit, шифрование не выполнялось, поэтому их восстановление требовало обратного действия по переименованию.
Группа вымогателей OldGremlin атакует российские компании новым вредоносным ПО
OldGremlin, малоизвестный злоумышленник, который использует свои особенно продвинутые навыки для проведения тщательно подготовленных кампаний, вернулся в прошлом месяце после перерыва более чем в год.
Группа отличается от других программ-вымогателей небольшим количеством кампаний (менее пяти с начала 2021 года), нацеленных только на предприятия в России, и использованием собственных бэкдоров.
Тщательно подготовленный фишинг
Самая последняя активность OldGremlin состоит из двух фишинговых кампаний, запущенных в конце марта 2022 года. Слишком рано оценивать, сколько компаний было атаковано, но исследователи безопасности говорят, что по крайней мере одна российская компания в горнодобывающем секторе находится в списке жертв.
Злоумышленник не стал отказываться от ранее применявшейся тактики получения начального доступа и воспользовался актуальными темами новостей.
Исследователи безопасности из сингапурской компании по кибербезопасности Group-IB
говорят, что на этот раз OldGremlin выдавал себя за старшего бухгалтера российской финансовой организации, предупредив, что недавние санкции, введенные против России, приостановят работу платежных систем Visa и Mastercard.
Новый пользовательский бэкдор
Электронное письмо указывало получателю на вредоносный документ, хранящийся в хранилище Dropbox, который загружает бэкдор под названием TinyFluff, который запускает интерпретатор Node.js и предоставляет злоумышленнику удаленный доступ к целевой системе.
TinyFluff — это новый вариант старого бэкдора TinyNode, который группа использовала в прошлых атаках.
Исследователи Group-IB обнаружили два варианта TinyFluff: более раннюю, более сложную, и более новую, упрощенную версию, которая копирует скрипт и интерпретатор Node.js из своего хранилища по адресу 192.248.176[.]138.
«Мы считаем, что первая, более сложная версия TinyFluff была сырой. Вот почему кибергруппа упростила инструмент, чтобы они могли использовать его на лету. Однако, скорее всего, они улучшат его для дальнейших атак», — команда Group-IB Threat Intelligence.
Оба варианта бэкдора в настоящее время обнаруживаются более чем 20 антивирусными ядрами на платформе сканирования Virus Total.
В отчете, предоставленном BleepingComputer, Group-IB предоставляет индикаторы компрометации и подробный технический анализ инструментов, которые OldGremlin использовал в двух фишинговых кампаниях, развернутых в прошлом месяце.
После установки бэкдора OldGremlin переходит к этапу разведки, проверяя, работает ли приложение в тестовой среде.
Команды для этого этапа атаки передаются в виде открытого текста, что позволяет исследователям исследовать их с помощью анализатора трафика.
сбор информации о зараженной системе/устройстве
получение информации о подключенных дисках
запуск оболочки cmd.exe, выполнение команды и отправка вывода на сервер управления и контроля (C2)
получение информации об установленных в системе плагинах
получение информации о файлах в определенных каталогах на системном диске
завершение работы интерпретатора Node.js
OldGremlin может провести месяцы внутри скомпрометированной сети, прежде чем приступить к заключительному этапу атаки: доставке TinyCrypt/TinyCryptor, пользовательской полезной нагрузки программы-вымогателя.
Как и в случае с атаками других программ-вымогателей, жертва получает записку с требованием выкупа, в которой содержится контакт для связи с злоумышленником для переговоров об оплате.
Group-IB сообщила, что OldGremlin зашифровала как минимум три компании с тех пор, как исследователи начали отслеживать группу в 2020 году.
Хотя это число незначительно по сравнению с атаками других банд вымогателей, исследователи отмечают, что OldGremlin проводит весь год, пожиная плоды нескольких запущенных ими кампаний.
В 2021 году группа развернула только одну фишинговую кампанию, но этого было достаточно, чтобы занять их весь год, поскольку она предоставила первоначальный доступ к сети нескольких предприятий.
Group-IB заявляет, что в этом году в результате мартовской фишинговой активности группы будет раскрыто большее число жертв OldGremlin, помимо целевой российской горнодобывающей компании.
Основываясь на найденных доказательствах и проанализировав качество фишинговых писем и фиктивных документов, исследователи пришли к выводу, что в OldGremlin есть русскоязычные участники.
Они охарактеризовали знания группы о русском ландшафте как «удивительные».
Ориентируясь только на российские компании (банки, промышленные предприятия, медицинские организации и разработчиков программного обеспечения), OldGremlin нарушает негласное правило не атаковать объекты на территории России.
Отчет Group-IB о последних кампаниях OldGremlin, включая технический анализ атак и индикаторы компрометации, доступен на сайте компании.
Хакеры используют вирус-вымогатель Conti для атак на российские компании
Группа хакеров использовала утечку исходного кода программы-вымогателя Conti для создания собственной программы-вымогателя для использования в кибератаках на российские организации.
Программа-вымогатель нацелена на Россию
В течение последнего месяца хакерская группа, известная как NB65, взламывала российские организации, крала их данные и сливала их в сеть.
В число российских организаций, которые, как утверждается, подверглись атаке со стороны хакерской группы, входят
оператор документооборота «Тензор», российское космическое агентство «Роскосмос» и ВГТРК, государственная телерадиокомпания.
Атака на ВГТРК была особенно значимой, поскольку привела к предполагаемой краже 786,2 ГБ данных, в том числе 900 000 электронных писем и 4 000 файлов, которые были опубликованы на сайте DDoS Secrets.
Совсем недавно хакеры NB65 обратились к новой тактике — с конца марта нацелены на российские организации с помощью программ-вымогателей.
Почти все антивирусные поставщики обнаруживают этот образец на VirusTotal как Conti, и Intezer Analyze также определил, что он использует 66% того же кода, что и обычные образцы программ-вымогателей Conti.
Шифратор от NB65 и при шифровании файлов добавляет расширение .NB65 к именам зашифрованных файлов.
Программа-вымогатель также будет создавать заметки о выкупе с именем R3ADM3.txt на зашифрованном устройстве.
Серверы Microsoft Exchange взломаны для развертывания программы-вымогателя Hive
Оператор Hive Ransomware нацелился на серверы Microsoft Exchange, уязвимые для проблем с безопасностью ProxyShell, для развертывания различных бэкдоров, включая маяк Cobalt Strike.
Оттуда злоумышленники проводят сетевую разведку, крадут учетные данные учетной записи администратора, извлекают ценные данные, в конечном итоге развертывая полезную нагрузку для шифрования файлов.
Подробности поступили от компании по безопасности и аналитике Varonis, которая была вызвана для расследования атаки программы-вымогателя на одного из своих клиентов.
ProxyShell — это набор из трех уязвимостей в Microsoft Exchange Server, которые позволяют удаленно выполнять код без проверки подлинности в уязвимых средах. После того, как эксплойты стали доступны, уязвимости использовались несколькими злоумышленниками, включая программы-вымогатели, такие как Conti, BlackByte, Babuk, Cuba и LockFile.
Уязвимости отслеживаются как CVE-2021-34473, CVE-2021-34523 и CVE-2021-31297, а их уровень серьезности варьируется от 7,2 (высокий) до 9,8 (критический).
Уязвимости безопасности считаются полностью устраненными по состоянию на май 2021 г., но обширные технические подробности о них стали доступны только в августе 2021 г., и вскоре после этого началась злонамеренная эксплуатация [1, 2].
Тот факт, что аффилированное лицо Hive успешно использовало ProxyShell в недавней атаке, показывает, что еще есть место для атак на уязвимые серверы.
От доступа к шифрованию
После эксплуатации ProxyShell хакеры внедрили четыре веб-оболочки в доступную директорию Exchange и выполнили код PowerShell с высокими привилегиями для загрузки стейджеров Cobalt Strike.
Веб-оболочки, используемые в этой конкретной атаке, были получены из общедоступного репозитория Git и были просто переименованы, чтобы избежать обнаружения во время возможных ручных проверок.
Оттуда злоумышленники использовали Mimikatz, чтобы украсть пароль учетной записи администратора домена и выполнить горизонтальное перемещение, получив доступ к большему количеству ресурсов в сети.
Затем злоумышленники выполнили обширные операции по поиску файлов, чтобы найти наиболее ценные данные, чтобы заставить жертву заплатить более крупный выкуп.
Аналитики Varonis видели остатки удаленных сетевых сканеров, списки IP-адресов, перечисления устройств и каталогов, RDP для резервных серверов, сканирование баз данных SQL и многое другое.
Одним из заметных случаев злоупотребления программным обеспечением для сканирования сети был «SoftPerfect», легкий инструмент, который злоумышленник использовал для перечисления активных хостов, проверяя их связь и сохраняя результаты в текстовом файле.
Наконец, после того как все файлы были удалены, полезная нагрузка программы-вымогателя с именем «Windows.exe» была установлена и запущена на нескольких устройствах.
Перед шифрованием файлов организации полезная нагрузка Golang удалила теневые копии, отключила Защитник Windows, очистила журналы событий Windows, убила процессы привязки файлов и остановила диспетчер учетных записей безопасности, чтобы отключить оповещения.
Эволюция Hive
Hive прошел долгий путь с тех пор, как его впервые заметили в дикой природе в июне 2021 года, и его успешный старт побудил ФБР выпустить специальный отчет о его тактике и индикаторах компрометации.
В октябре 2021 года Hive добавила варианты Linux и FreeBSD, а в декабре стала одной из самых активных операций с вымогателями по частоте атак.
В прошлом месяце исследователи из Sentinel Labs сообщили о новом методе обфускации, скрывающем полезную нагрузку, используемом Hive, что указывает на активную разработку.
LockBit загружает Cobalt Strike Beacon с помощью утилиты VMware
Утилита командной строки VMware VMwareXferlogs.exe, используемая для передачи данных в журналы VMX и из них, подвержена боковой загрузке DLL.
В ходе недавнего расследования наша команда DFIR обнаружила, что LockBit Ransomware-as-a-Service (Raas) загружает Cobalt Strike Beacon с помощью подписанной утилиты командной строки VMware xfer logs.
Злоумышленник использует PowerShell для загрузки утилиты журналов VMware xfer вместе с вредоносной DLL и файлом .log, содержащим зашифрованный загрузчик Cobalt Strike Reflective.
Вредоносная DLL обходит защиту, удаляя перехватчики пользовательской области EDR/EPP, и обходит как отслеживание событий для Windows (ETW), так и интерфейс сканирования на наличие вредоносных программ (AMSI).
Есть предположения, что функция боковой загрузки была реализована аффилированным лицом, а не самими разработчиками Lockbit (через vx-underground), вероятно, DEV-0401.
LockBit — это программа-вымогатель как услуга (RaaS), активная с 2019 года (ранее известная как «ABCD»). Он обычно использует метод двойного вымогательства, используя такие инструменты, как StealBit, WinSCP и облачные решения для резервного копирования для кражи данных перед развертыванием программы-вымогателя. Как и большинство групп вымогателей, LockBit предпочитает инструмент постэксплуатации Cobalt Strike.
В ходе недавнего расследования наша команда DFIR обнаружила интересную технику, используемую LockBit Ransomware Group или, возможно, ее аффилированным лицом, для загрузки отражающего загрузчика Cobalt Strike Beacon.
В этом конкретном случае LockBit удалось загрузить Cobalt Strike Beacon с помощью подписанной утилиты командной строки VMware xfer logs.
С момента нашей первоначальной публикации этого отчета мы идентифицировали связь с аффилированным лицом Microsoft, отслеживаемую как DEV-0401. Переход на LockBit представляет собой заметный отход от ранее наблюдаемых TTP DEV-0401.
Неопубликованная загрузка — это метод перехвата DLL, используемый для того, чтобы заставить безобидный процесс загрузить и выполнить вредоносную DLL, поместив DLL рядом с соответствующим EXE-файлом процесса, используя порядок поиска DLL. В этом случае субъект угрозы использовал PowerShell для загрузки утилиты журналов VMware xfer вместе с вредоносной DLL и файлом .log, содержащим зашифрованный загрузчик Cobalt Strike Reflective. Затем утилита VMware была запущена через cmd.exe, передав поток управления вредоносной DLL.
Затем DLL обходит защиту, удаляя перехватчики пространства пользователя EDR/EPP, а также обходя отслеживание событий для Windows (ETW) и интерфейс сканирования на наличие вредоносных программ (AMSI). Затем файл .log был загружен в память и расшифрован с помощью RC4, в результате чего был обнаружен отражающий загрузчик Cobalt Strike Beacon. Наконец, в очередь ставится асинхронный вызов процедуры (APC) пользовательского режима, который используется для передачи потока управления расшифрованному маяку.
Цепочка атак
Цепочка атак началась с нескольких команд PowerShell, выполненных злоумышленником для загрузки трех компонентов, вредоносной DLL, подписанного исполняемого файла VMwareXferlogs и зашифрованной полезной нагрузки Cobalt Strike в виде файла .log.
Имя файла Описание
glib-2.0.dll Вредоносная DLL, загруженная VMwareXferlogs.exe
VMwareXferlogs.exe Легальная/подписанная утилита командной строки VMware
c0000015.log Зашифрованная полезная нагрузка Cobalt Strike
Вывод
Утилита командной строки VMware VMwareXferlogs.exe, используемая для передачи данных в журналы VMX и из них, подвержена боковой загрузке DLL. В ходе нашего взаимодействия мы увидели, что злоумышленник создал вредоносную версию легитимной glib-2.0.dll, в которой код содержится только в функции g_path_get_basename(), а все остальные экспорты просто вызываются ExitProcess(). Эта функция вызывает вредоносную полезную нагрузку, которая, среди прочего, пытается обойти пользовательские перехватчики EDR/EPP и задействует логику, препятствующую отладке.
LockBit продолжает оставаться успешным RaaS, и разработчики явно внедряют инновации в ответ на решения EDR/EPP. Мы надеемся, что, описав эту новейшую технику, защитники и службы безопасности смогут улучшить свои возможности по защите своих организаций.
REvil возвращается: новый образец вредоносного ПО подтверждает, что группа вернулась
Печально известная операция по вымогательству REvil вернулась на фоне роста напряженности в отношениях между Россией и США с новой инфраструктурой и модифицированным шифровальщиком, позволяющим проводить более целенаправленные атаки.
В октябре (2021) REvil закрылась после того, как правоохранительные органы захватили их серверы Tor, после чего российские правоохранительные органы арестовали ее членов.
Tor-сайты REvil возвращаются к жизни
Вскоре после этого старая инфраструктура REvil Tor снова заработала, но вместо того, чтобы показывать старые веб-сайты, они перенаправляли посетителей на URL-адреса для новой операции безымянного вымогателя.
Хотя эти сайты не были похожи на предыдущие сайты REvil, тот факт, что старая инфраструктура перенаправляла пользователей на новые сайты, указывал на то, что REvil, вероятно, снова работает. Кроме того, эти новые сайты содержали смесь новых жертв и данных, украденных во время предыдущих атак REvil.
Единственный способ узнать наверняка, вернулся ли REvil, — это найти образец шифровальщика-вымогателя и проанализировать его, чтобы определить, был ли он исправлен или скомпилирован из исходного кода.
Образец шифровальщика новой операции по вымогательству был наконец обнаружен на этой неделе исследователем AVAST Якубом Кроустеком и подтвердил связи новой операции с REvil.
Хотя некоторые операции с вымогателями используют шифровальщик REvil, все они используют исправленные исполняемые файлы, а не имеют прямого доступа к исходному коду.
Однако несколько исследователей безопасности и аналитиков вредоносных программ сообщили BleepingComputer, что обнаруженный образец REvil, используемый новой операцией, скомпилирован из исходного кода и включает новые изменения.
Исследователь безопасности R3MRUM написал в Твиттере, что номер версии образца REvil был изменен на 1.0, но он является продолжением последней версии 2.08, выпущенной REvil перед закрытием.
Генеральный директор Advanced Intel Виталий Кремез провел реинжиниринг образца REvil в эти выходные и подтвердил, что он был скомпилирован из исходного кода 26 апреля и не был исправлен.
Кремез сообщил BleepingComputer, что новый образец REvil включает новое поле конфигурации «accs», которое содержит учетные данные для конкретной жертвы, на которую нацелена атака.
Кремез считает, что параметр конфигурации «accs» используется для предотвращения шифрования на других устройствах, не содержащих указанные учетные записи и домены Windows, что позволяет проводить целенаправленные атаки.
В дополнение к параметру «accs» в конфигурации нового образца REvil были изменены параметры SUB и PID, используемые в качестве идентификаторов кампании и филиала, для использования более длинных значений типа GUID, таких как «3c852cc8-b7f1-436e-ba3b-c53b7fc6c0e4».
BleepingComputer также протестировал образец программы-вымогателя, и хотя он не зашифровал, он создал примечание о выкупе, которое идентично старым примечаниям о выкупе REvil.
Кроме того, несмотря на некоторые различия между старыми сайтами REvil и переименованным сайтом, когда жертва входит на сайт, он почти идентичен оригиналу, а субъекты угрозы утверждают, что они «Sodinokibi»
Ошибки программ-вымогателей Conti, REvil и LockBit, используемые для блокировки шифрования
Хакеры обычно используют уязвимости в корпоративных сетях, чтобы получить доступ, но исследователь изменил ситуацию, обнаружив эксплойты в самых распространенных программах-вымогателях и вредоносных программах, распространяемых сегодня.
Вредоносное ПО из печально известных программ-вымогателей, таких как Conti, возрожденный REvil, новичок Black Basta, очень активный LockBit или AvosLocker, — все они имели проблемы с безопасностью, которые можно было использовать, чтобы остановить последний и самый опасный этап атаки — шифрование файлов.
Доступен код эксплойта
Анализируя штаммы вредоносного ПО от этих групп вымогателей, исследователь безопасности по имени hyp3rlinx обнаружил, что образцы уязвимы для захвата DLL — метода, который обычно используется злоумышленниками для внедрения вредоносного кода в законное приложение.
Для каждого проанализированного фрагмента вредоносного ПО исследователь предоставляет отчет, в котором описывается тип обнаруженной уязвимости, хэш образца, эксплойт для подтверждения концепции (PoC) и демонстрационное видео.
Перехват DLL работает только в системах Windows и использует способ, которым приложения ищут и загружают в память нужные им файлы библиотеки динамической компоновки (DLL).
Программа с недостаточной проверкой может загрузить DLL из пути за пределами своего каталога, повысив привилегии или выполнив нежелательный код.
Для уязвимых образцов программ-вымогателей от Conti, REvil, LockBit, Black Basta, LockiLocker и AvosLocker исследователь говорит, что их эксплойт позволяет выполнять код для «контроля и прекращения предварительного шифрования вредоносного ПО».
Чтобы использовать уязвимости в вредоносном ПО от вышеперечисленных групп, исследователь создал код эксплойта, который необходимо скомпилировать в DLL с определенным именем, чтобы вредоносный код распознал его как свой и загрузил для начала шифрования данных.
Ниже представлено видео исследователя, использующего уязвимость перехвата DLL в программе-вымогателе REvil, чтобы уничтожить вредоносное ПО до начала процесса шифрования.
По словам hyp3rlinx, для защиты от этих семейств программ-вымогателей DLL можно разместить в месте, где киберпреступники могут запускать свои программы-вымогатели, например в сетевом расположении с важными данными.
После загрузки DLL эксплойта процесс вымогателя должен завершиться до начала операции шифрования данных.
Исследователь отмечает, что хотя вредоносные программы могут блокировать решения безопасности на скомпрометированной машине, они ничего не могут сделать с DLL, поскольку они представляют собой просто файлы, хранящиеся на диске хоста и неактивные до загрузки.
Неясно, какие версии программы-вымогателя Hyperlinx оказались уязвимыми для захвата DLL.
Если образцы новые, вполне вероятно, что эксплойт будет работать только в течение короткого времени, потому что банды вымогателей быстро исправляют ошибки, особенно когда они попадают в общедоступное пространство.
Даже если эти выводы окажутся жизнеспособными еще какое-то время, компании, на которые нацелены банды вымогателей, по-прежнему рискуют украсть и просочиться важные файлы, поскольку эксфильтрация, чтобы заставить жертву заплатить выкуп, является частью образа действий этого злоумышленника.
Однако эксплойты Hyperlinx могут оказаться полезными, по крайней мере, для предотвращения сбоев в работе, которые могут нанести значительный ущерб.
Более уязвимые вредоносные программы
hyp3rlinx отслеживает свою работу в рамках проекта Malvuln, который направлен на поиск уязвимостей в различных вредоносных программах, от троянов и бэкдоров до программ-шпионов и программ для кражи информации.
Последний отчет исследователя об уязвимостях в вредоносных программах относится к RedLine, похитителю информации, который стал широко популярен на хакерских форумах.
Он собирает конфиденциальную информацию, такую как входы в систему из веб-браузеров, платформ обмена сообщениями (Telegram, Discord), FTP-клиентов, Steam, а также нацелен на криптовалютные кошельки.
Программа-вымогатель Thanos является первой, использующей раскрытую исследователями технологию уклонения от программ-вымогателей RIPlace, а также множество других расширенных функций, которые делают ее серьезной угрозой, за которой нужно следить.
Thanos впервые начал частное распространение в конце октября 2019 года
Спустя некоторое время программа стала идентифицироваться как Hakbit.
Далее,
Thanos привлекает хакеров и распространителей вредоносных программ для распространения программ-вымогателей. За это они будут получать долю дохода, которая обычно составляет около 60-70% от любых выплат выкупа.
Партнеры, которые присоединяются к Thanos RaaS, получают доступ к «Private Ransomware Builder», который используется для создания пользовательских исполняемых файлов программ-вымогателей.
В то время как большинство программ-вымогателей, написанных на C#, не отличаются высоким уровнем сложности, у Thanos есть множество расширенных функций, которые выделяют его среди остальных.
Builder позволяет использовать широкий спектр функций, включая встроенный похититель незашифрованных файлов, автоматическое распространение на другие устройства и использование раскрытой исследователями техники уклонения от RIPlace.
Некоторые образцы программ-вымогателей Thanos ранее были помечены как программы-вымогатели Prometheus, Haron или Hakbit из-за различных расширений шифрования, используемых аффилированными лицами. Однако Insikt Group из Recorded Future обнаружила, что это одно и то же вредоносное ПО.
Программа-вымогатель Conti прекращает работу и преобразуется в более мелкие подразделения
Conti официально прекратила свою деятельность, инфраструктура была отключена, а руководители групп заявили, что бренда больше нет.
Хотя может показаться странным, что Conti закрылась в разгар своей информационной войны с Коста-Рикой, Утвержается, что Conti провела эту публичную атаку, чтобы создать видимость реальной операции, в то время как члены Conti медленно мигрировали на другие, более мелкие группы.
QNAP предупреждает клиентов NAS о новых атаках программ-вымогателей DeadBolt
Тайваньский производитель сетевых хранилищ (NAS) QNAP в четверг предупредил клиентов о необходимости защитить свои устройства от атак, использующих полезную нагрузку программ-вымогателей DeadBolt.
Компания попросила пользователей обновить свои устройства NAS до последней версии программного обеспечения и убедиться, что они не подвергаются удаленному доступу через Интернет.
«Согласно расследованию группы реагирования на инциденты, связанные с безопасностью продуктов QNAP (QNAP PSIRT), атака была направлена на устройства NAS, использующие QTS 4.3.6 и QTS 4.4.1, и затронутые модели были в основном сериями TS-x51 и TS-x53, — сказал производитель NAS.
«QNAP призывает всех пользователей NAS как можно скорее проверить и обновить QTS до последней версии, а также избегать доступа к своему NAS из Интернета».
Это предупреждение появилось после опубликованного в январе другого сообщения о программах-вымогателях, нацеленных на NAS-устройства, открытые для доступа в Интернет.
Компания QNAP рекомендовала клиентам с общедоступными устройствами предпринять следующие действия, чтобы заблокировать потенциальные атаки:
Отключите функцию переадресации портов маршрутизатора: перейдите в интерфейс управления маршрутизатора, проверьте настройки виртуального сервера, NAT или переадресации портов и отключите параметр переадресации порта службы управления NAS (порт 8080 и 433 по умолчанию).
Отключите функцию UPnP QNAP NAS: перейдите в myQNAPcloud в меню QTS, нажмите «Автоматическая настройка маршрутизатора» и снимите флажок «Включить переадресацию портов UPnP».
Производитель NAS также предоставляет подробные инструкции по отключению подключений SSH и Telnet, изменению номера системного порта, изменению паролей устройств и включению защиты доступа по IP и учетным записям.
В апреле QNAP также призвала пользователей NAS отключить переадресацию портов Universal Plug and Play (UPnP) на своих маршрутизаторах, чтобы предотвратить их уязвимость для атак из Интернета.
Тем, кому необходим доступ к устройствам NAS без прямого доступа к Интернету, рекомендуется включить функцию VPN на своем маршрутизаторе (если она доступна), использовать службу myQNAPcloud Link и сервер VPN на устройствах QNAP, предоставляемый приложением QVPN Service, или QuWAN SD. -WAN-решение.
Поскольку устройства QNAP также являются мишенью для других семейств программ-вымогателей, таких как Qlocker и eCh0raix, всем владельцам следует немедленно принять вышеуказанные меры для защиты своих данных от будущих атак.
Программа-вымогатель DeadBolt
Вымогатель DeadBolt, впервые замеченный в атаках на устройства QNAP NAS в конце января, захватывает страницу входа в систему устройства QNAP, чтобы отобразить экран с надписью «ВНИМАНИЕ: ваши файлы были заблокированы DeadBolt».
После развертывания на устройстве NAS этот вымогатель использует AES128 для шифрования файлов, добавляя к их именам расширение .deadbolt.
DeadBolt также заменяет файл /home/httpd/index.html, чтобы жертвы видели экран с требованием выкупа при доступе к скомпрометированному устройству.
После выплаты выкупа злоумышленники создают биткойн-транзакцию на тот же адрес биткойн-выкупа, содержащий ключ дешифрования для жертвы (ключ дешифрования можно найти в выводе OP_RETURN).
Эксперт по программам-вымогателям Майкл Гиллеспи создал бесплатный дешифратор для Windows, который помогает расшифровывать файлы без использования исполняемого файла программы-вымогателя.
Однако владельцы QNAP, пострадавшие от программы-вымогателя DeadBolt, должны будут заплатить выкуп, чтобы получить действительный ключ дешифрования.
Программа-вымогатель DeadBolt вернулась в феврале в рамках другой кампании, нацеленной на устройства ASUSTOR NAS и предположительно использующей уязвимость нулевого дня.
Clop возвращается, за один месяц пострадала 21 жертва
По словам исследователей NCC Group, после фактического прекращения всей их деятельности на несколько месяцев, с ноября по февраль, программа-вымогатель Clop снова вернулась.
«CL0P резко и неожиданно вернулся на передний план ландшафта угроз программ-вымогателей, поднявшись с наименее активного субъекта угроз в марте на четвертое место по активности в апреле», — говорится в сообщении NCC Group.
Этот всплеск активности был замечен после того, как группа вымогателей добавила 21 новую жертву на свой сайт утечки данных в течение одного месяца, в апреле.
«В апреле были заметные колебания в нацеливании злоумышленников. В то время как Lockbit 2.0 (103 жертвы) и Conti (45 жертв) остаются самыми многочисленными злоумышленниками, количество жертв CL0P значительно увеличилось, с 1 до 21», — добавила NCC Group.
Наиболее целевым сектором Clop был промышленный сектор: 45% атак программ-вымогателей Clop поражали промышленные организации, а 27% — технологические компании.
Из-за этого глобальный руководитель стратегического анализа угроз NCC Group Мэтт Халл предупредил организации в наиболее целевых секторах группы вымогателей, чтобы они рассмотрели возможность стать следующей целью этой группы и подготовились соответствующим образом.
Однако, несмотря на утечку данных почти от двух десятков жертв, группа вымогателей не выглядит очень активной, судя по количеству представлений в службе ID Ransomware.
Кто такой Clop?
Затишье в деятельности Clop легко объясняется тем, что часть ее инфраструктуры была отключена в июне 2021 года после международной операции правоохранительных органов под кодовым названием Operation Cyclone, координируемой Интерполом.
Список компаний, чьи серверы Accellion FTA были взломаны группой Clop, включает, среди прочего, энергетического гиганта Shell, фирму по кибербезопасности Qualys, гиганта супермаркетов Kroger и несколько университетов по всему миру (Университет Колорадо, Университет Майами, Стэнфордский медицинский университет, Университет Мэриленда). Балтимор (UMB) и Калифорнийский университет.)
Conti Ransomware нацелена на прошивку Intel для скрытых атак
Исследователи, анализирующие просочившиеся чаты печально известной операции по вымогательству Conti, обнаружили, что злоумышленники активно разрабатывали взломы прошивок.
Согласно сообщениям, которыми обменивались злоумышленники, разработчики Conti создали код проверки концепции (PoC), который использовал Intel Management Engine (ME) для перезаписи флэш-памяти и запуска SMM (режим управления системой).
ME — это встроенный микроконтроллер в наборы микросхем Intel, работающий под управлением микро-ОС для предоставления внеполосных услуг. Conti занималась фаззингом этого компонента, чтобы найти недокументированные функции и команды, которые они могли бы использовать.
Оттуда Conti могла получить доступ к флэш-памяти, в которой размещалась прошивка UEFI/BIOS, обойти защиту от записи и выполнить произвольный код в скомпрометированной системе.
Конечной целью будет установка SMM-имплантата, который будет работать с максимально возможными системными привилегиями (кольцо-0), но при этом практически не будет обнаруживаться инструментами безопасности на уровне ОС.
Важно отметить, что в отличие от модуля TrickBot, нацеленного на недостатки прошивки UEFI, помогающего заражению Conti и позже предпринятого группой вымогателей, новые результаты указывают на то, что злоумышленники стремились обнаружить новые, неизвестные уязвимости в ME.
Атаки на прошивку в программах-вымогателях
Чтобы атака на микропрограмму стала возможной, злоумышленникам-вымогателям сначала необходимо получить доступ к системе по обычному пути, такому как фишинг, использование уязвимости или выполнение атаки на цепочку поставок.
После компрометации ME злоумышленники должны будут следовать плану атаки, основанному на том, к каким областям «защиты от записи» им разрешен доступ, в зависимости от реализации ME и различных ограничений/защит.
Eclypsium говорит, что это может быть либо доступ для перезаписи дескриптора SPI и перемещения UEFI/BIOS за пределы защищенной области, либо прямой доступ к области BIOS.
Существует также сценарий, когда ME не имеет доступа ни к одному из них, и в этом случае субъекты угрозы могут использовать Intel Management Engine для принудительной загрузки с виртуального носителя и разблокировать защиту PCH, которая лежит в основе контроллера SPI.
Conti может использовать этот поток атак, чтобы постоянно блокировать системы, добиваться максимальной стойкости, уклоняться от обнаружения антивирусами и EDR и обходить все элементы управления безопасностью на уровне ОС.
Conti ушел, но код еще жив.
Хотя операция Conti, по-видимому, была закрыта, многие ее участники перешли к другим операциям по вымогательству, где они продолжают проводить атаки.
Это также означает, что вся работа, проделанная для разработки эксплойтов, подобных той, что Eclypsium заметила в просочившихся чатах, продолжит существовать.
Как объясняют исследователи, у Conti был рабочий PoC для этих атак с лета прошлого года, поэтому вполне вероятно, что у них уже была возможность использовать его в реальных атаках.
RaaS может вернуться в измененной форме, основные члены могут присоединиться к другим операциям с вымогателями, и в целом эксплойты будут продолжать использоваться.
Для защиты от угроз применяйте доступные обновления прошивки для вашего оборудования, следите за изменениями конфигурации ME и регулярно проверяйте целостность флэш-памяти SPI.
Комментарии
PCrisk:
Extension: .JRB Sample: https://virustotal.com/gui/file/4da12fe3dcf1571388cbc21bbfd3617b55f19eea130a0b75fcf8e6426ea1d0ca/detection
+
Extension: .dts Sample: https://virustotal.com/gui/file/811b2259c62838d7c315b2e4d2f23ecfbbed5126209e004b92be63495a34a191/detection
+
Extension: .TCYO Sample: https://virustotal.com/gui/file/fd49f066864c9286c5303d19a1d3a0730b0ed8c846da6a6dcee9fc1d58f57e4c/detection
+
Extension: .6ix9 Sample: https://virustotal.com/gui/file/cd4195d92768aeb441215d758781984fe69317487fff6fcc76c680a93e1c2ec6/detection
+
Extension: .RZA Sample: https://virustotal.com/gui/file/d6e851580f50960c3e72692089562287eadf04c86584eab6bbac371dd42e5b4b/detection
+
Extension: .RME Sample: https://virustotal.com/gui/file/2d0a68c610a9decf73f25af3aaa2d77a280b4b79196e214ee6b63777bce36dce/detection
+
Extension: .yUixN Sample: https://virustotal.com/gui/file/9f384d91df642590e6e63b29cfba6de1e5dd905f12aeebbbbdad82be43a3c771/detection
+
Extension: .nomad Sample: https://virustotal.com/gui/file/a446a16501c15a6609b8d651a71b1163093a69061af1a9ace4dbd6a7672eba61/detection
+
Extension: .MOON Sample: https://virustotal.com/gui/file/cc841cabf9c1e9e7501851844fafba8cd4be2a5b8c7e3e060ed007fad20bdf1c/detection
+
Extension: .chld Sample: https://virustotal.com/gui/file/be836b777fd48bd7e6fe5465533b7b6e20e4a0474d0ccf177797bc77fc4eb96a/detection
+
Extension: .WOLF Sample: https://virustotal.com/gui/file/4415f8f494bdcaf72a9b814586f81cc8bc732c0e0dad1ba1f1d5eb8e357f7303/detection
+
Extension: .NaS https://virustotal.com/gui/file/4f01077d266b122d372ef9a93e5117086a256f0f6b9b45e609e834137a447177/detection
+
Extension: .lsas https://virustotal.com/gui/file/db0111038f5f8a362537694e72ee1b18f35a3d56beaca8284c8656624a966af4/detection
+
Extension: .MS https://virustotal.com/gui/file/3366e3811e6efd2237a9f829af0551e46e79001ae05192e90ccf1d6c047312c1
+
Extension: .WORM https://virustotal.com/gui/file/e01d44a06e045ada736c76fec5eaa8a27f6baecffae24563031b7ff3c2c61985/detection
+
Extension: .NEEH https://virustotal.com/gui/file/0fcc4badd02c7a0be0cee4a67e79e4515b0cacdd96546ca2b269e17571c425c9/detection
+
Extension: .Deeep https://virustotal.com/gui/file/f08272e69f4eeefac7657fa0d9100a4e18341ad25f44fa4a91f7fc0010cf15d1/detection
+
Extension: .DC https://virustotal.com/gui/file/8faad5c7914ea3fc11167df01482cd6abd89fd6253442e252c2e9deb9ca9c4ff/detection
+
Extension: .Xqxqx https://virustotal.com/gui/file/dad9dcf486c1ccb9286a55015e52bc6106f8d3bfb07c3fb6f32e6c5b91cb67cf/detection
+
Extension: .C1024 https://virustotal.com/gui/file/b882013f2b66b391b1988e9d2bc5a0cd6357c2c942b30aad8fe1ea17ba46b94f/detection
+
Jakub Kroustek:
'.ver' - '[email protected]' - https://virustotal.com/gui/file/28e723a7aae19bfc23b61c11a36059bd3817e10fb460bd165e1f5b24cd8ccb9c/
+
'.RED' - '[email protected]' - https://virustotal.com/gui/file/6a06dfda9a3d31f5ecd9f7d05009447effa3250e70a07a55b39780d20f7dc248/
+
'.bmo' - '[email protected]' - https://virustotal.com/gui/file/8f6b6a207cc94437f5edc50b5a6d8a1fd3b6a46ac84012211f8de9b4415ee740/
+
dnwls0719:
New Ext: .MTX - mail: [email protected]
RansomNote: Info.hta, info.txt
+
PCrisk:
Extension: .cip - https://www.virustotal.com/gui/file/e39339cbb816ced72cc83827a1160980516ea644ea812746e8c577fb3e08ee3a/detection
+
Jakub Kroustek:
'.Bl' - '[email protected]' - https://virustotal.com/gui/file/ed01abcaac14c1921938ade1e4396df74087d75b18ad0c5d8321378c0fb53b71/
+
'.kl' - '[email protected]' https://virustotal.com/gui/file/8f2bb3a4089e637c0cf28611bda511dd00b783307d1b61f9ccdd45aa8e902fa4/
Пользователи сетевых хранилищ (NAS) QNAP сообщают об атаках на свои системы с помощью программы-вымогателя eCh0raix, также известной как QNAPCrypt.
Злоумышленник, стоящий за этим конкретным вредоносным ПО, активизировал свою деятельность примерно за неделю до Рождества, взяв под контроль устройства с правами администратора.
Подскакивает количество атак перед Рождеством
Пользователи, управляющие системами QNAP и Synology NAS, регулярно сообщают об атаках программ-вымогателей eCh0raix, но около 20 декабря многие из них начали сообщать об инцидентах.
Скачок количества атак подтверждается службой вымогателей ID, количество заявок на которую начало расти 19 декабря и снизилось к 26 декабря.
Первоначальный вектор заражения пока неясен. Некоторые пользователи признают, что они были безрассудными и не защитили устройство должным образом (например, открыли доступ к Интернету через небезопасное соединение); другие утверждают, что уязвимость в Photo Station QNAP позволила злоумышленникам нанести ущерб.
Независимо от пути атаки, похоже, что злоумышленник eCh0raix создает пользователя в группе администраторов, что позволяет им шифровать все файлы в системе NAS.
Пользователи QNAP - некоторые из них используют устройство NAS в деловых целях - сообщили на форуме BleepingComputer, что вредоносная программа зашифровала изображения и документы.
Помимо всплеска числа атак, в этой кампании выделяется то, что злоумышленник неправильно ввел расширение для записки о выкупе и использовал расширение «.TXTT».
Важно отметить, что существует бесплатный дешифратор для файлов, заблокированных с помощью более старой версии (до 17 июля 2019 г.) вымогателя eCh0raix. Однако бесплатного решения для расшифровки данных, заблокированных последними версиями вредоносного ПО (версии 1.0.5 и 1.0.6), не существует.
Атаки с использованием eCh0raix / QNAPCrypt начались в июне 2019 года и с тех пор представляют собой постоянную угрозу. Ранее в этом году QNAP предупредил своих пользователей об очередном шквале атак eCh0raix в начале этого года, нацеленных на устройства со слабыми паролями.
Пользователи должны следовать рекомендациям QNAP, чтобы обеспечить надлежащую защиту своих устройств NAS и данных, которые они хранят.
https://www.bleepingcomputer.com/news/security/qnap-nas-devices-hit-in-surge-of-ech0raix-ransomware-attacks/
Сегодня компания QNAP предупредила клиентов о необходимости немедленно защитить подключенные к Интернету сетевые устройства хранения данных (NAS) от продолжающихся атак программ-вымогателей и грубой силы.
«QNAP призывает всех пользователей QNAP NAS следовать приведенным ниже инструкциям по настройке безопасности, чтобы обеспечить безопасность сетевых устройств QNAP», — говорится в опубликованном сегодня пресс-релизе тайваньского производителя NAS.
Компания предупредила пользователей, чтобы они проверяли, доступен ли их NAS через Интернет, открыв Security Counselor, встроенный портал безопасности для устройств QNAP NAS.
«Ваш NAS подключен к Интернету и подвергается высокому риску, если на приборной панели отображается сообщение «Служба системного администрирования может быть напрямую доступна с внешнего IP-адреса по следующим протоколам: HTTP».
QNAP рекомендует клиентам, у которых есть устройства NAS, подключенные к Интернету, предпринять следующие действия для их защиты от атак:
Производитель NAS также предоставляет подробные пошаговые инструкции по отключению соединений SSH и Telnet и изменению номера системного порта, изменению паролей устройств и включению защиты доступа к IP-адресу и учетной записи.
Предупреждение приходит после всплеска атак программ-вымогателей
Хотя компания не сообщила никаких других подробностей об этих активных атаках, BleepingComputer сообщил о клиентах QNAP, заявивших, что их системы были атакованы программой-вымогателем eCh0raix (также известной как QNAPCrypt).
Эти инциденты следуют за ростом активности прямо перед Рождеством и используют неизвестный вектор атаки.
Тем не менее, некоторые отчеты пользователей связывают успешные атаки программ-вымогателей с ненадлежащим образом защищенными устройствами, доступными в Интернете. Другие также утверждали, что злоумышленники использовали неустановленную уязвимость QNAP Photo Station.
Во время этих недавних атак BleepingComputer столкнулся с требованиями выкупа ech0raix в биткойнах на сумму от 1200 до 3000 долларов. Некоторым из них заплатили, потому что у жертв не было резервной копии зашифрованных файлов.
Устройства QNAP ранее становились мишенью злоумышленников, использующих программу-вымогатель eCh0raix в июне 2019 года и июне 2020 года, при этом производитель NAS также предупредил пользователей о новой серии атак eCh0raix, нацеленных на устройства со слабыми паролями, в мае 2021 года.
https://www.bleepingcomputer.com/news/security/qnap-warns-of-ransomware-targeting-internet-exposed-nas-devices/
AvosLocker — это новейшая группа программ-вымогателей, которая добавила поддержку шифрования систем Linux к своим последним вариантам вредоносных программ, специально нацеленных на виртуальные машины VMware ESXi.
Хотя мы не смогли найти, какие цели были атакованы с помощью этого варианта Linux-вымогателя AvosLocker, известно по крайней мере об одной жертве, которая получила требование выкупа в размере 1 миллиона долларов.
Несколько месяцев назад AvosLocker также была замечена в рекламе своих последних вариантов программ-вымогателей, Windows Avos2 и AvosLinux, одновременно предупреждая своих партнеров не атаковать цели на постсоветском пространстве/СНГ.
«Наши новые варианты (avos2 / avoslinux) предлагают лучшее из обоих миров: высокую производительность и высокий уровень шифрования по сравнению с конкурентами», — заявили в данной кибергруппе.
Виртуальные машины ESXi остановлены до шифрования
После запуска в системе Linux AvosLocker отключит все машины ESXi на сервере с помощью следующей команды:
Как только программа-вымогатель начнет работать на скомпрометированной системе, она добавит расширение .avoslinux ко всем зашифрованным файлам.
Он также сбрасывает заметки о выкупе, в которых просит жертв не выключать свои компьютеры, чтобы избежать повреждения файлов, и посетить onion-сайт для получения более подробной информации о том, как заплатить выкуп.
Программы-вымогатели переходят на Linux
AvosLocker — это новая группа, впервые появившаяся летом 2021 года и призывающая партнеров-вымогателей на подпольных форумах присоединиться к их недавно запущенной операции Ransomware-as-a-Service (RaaS).
Нацелившись на виртуальные машины, операторы программ-вымогателей также используют более простое и быстрое шифрование нескольких серверов с помощью одной команды.
С октября программа-вымогатель Hive начала шифровать системы Linux и FreeBSD, используя новые варианты вредоносного ПО, через несколько месяцев после того, как исследователи обнаружили программу-шифровальщик REvil для Linux, нацеленную на виртуальные машины VMware ESXi.
Технический директор Emsisoft Фабиан Восар сообщил, что другие кибергруппы, включая Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide и Hellokitty, также создали и использовали свои собственные шифраторы для Linux.
Варианты программ-вымогателей HelloKitty и BlackMatter для Linux также были обнаружены исследователями безопасности в дикой природе в июле и августе, что еще раз подтверждает заявление Восара. Операции программ-вымогателей Snatch и PureLocker также наблюдались с использованием шифровальщиков Linux в прошлом.
https://www.bleepingcomputer.com/news/security/linux-version-of-avoslocker-ransomware-targets-vmware-esxi-servers/
Федеральная служба безопасности (ФСБ) РФ заявляет, что ликвидировала кибергруппу REvil
В результате полицейских рейдов по 25 адресам задержано более десятка членов банды, говорится в сегодняшнем пресс-релизе российского спецслужбы.
Российские власти задержали 14 человек, подозреваемых в участии в операции REvil по программе-вымогателю как услуге (RaaS), и конфисковали криптовалюту и фиатные деньги следующим образом:
более 426 млн рублей (примерно $5,5 млн)
600 тысяч долларов США
500 тысяч евро (примерно 570 000 долларов США)
Российские власти также конфисковали 20 роскошных автомобилей, купленных на деньги, полученные в результате кибератак, компьютерное оборудование и криптовалютные кошельки, которые использовались для разработки и поддержания работы RaaS.
Рейды прошли по адресам в Москве, Санкт-Петербурге, Ленинградской и Липецкой областях.
ФСБ утверждает, что смогла установить всех членов группы REvil, задокументировать их незаконную деятельность и установить их участие в «незаконном обороте платежных средств».
Помимо создания вредоносного ПО для шифрования файлов и его развертывания в корпоративных сетях по всему миру, участники REvil также занимались кражей денег с банковских счетов иностранных граждан.
В ФСБ говорят, что проинформировали представителей компетентных органов США о результатах операции.
https://www.bleepingcomputer.com/news/security/russia-arrests-revil-ransomware-gang-members-seize-66-million/
Злоумышленники, стоящие за программой-вымогателем Qlocker, снова нацелены на открытые в Интернете устройства QNAP Network Attached Storage (NAS) по всему миру.
Qlocker ранее нацеливался на клиентов QNAP в масштабной кампании по вымогательству, которая началась в течение недели с 19 апреля, перемещая файлы жертв в защищенные паролем архивы 7-zip с расширением .7z после взлома их устройств NAS.
QNAP предупредил, что злоумышленники использовали жестко запрограммированную уязвимость учетных данных CVE-2021-28799 в приложении HBS 3 Hybrid Backup Sync, чтобы взломать устройства пользователей и заблокировать их файлы.
Однако для некоторых клиентов QNAP, ставших мишенью прошлогодней кампании вымогателей Qlocker, предупреждение пришло слишком поздно после того, как злоумышленники вымогали деньги у сотен пользователей QNAP.
В общей сложности затронутые пользователи QNAP потеряли около 350 000 долларов в течение одного месяца после уплаты выкупа в размере 0,01 биткойна (стоимостью около 500 долларов в то время), чтобы получить пароль, необходимый для восстановления их данных.
Qlocker возвращается в новой кампании 2022 года
Новая кампания по борьбе с вымогателями Qlocker началась 6 января, и она сбрасывает заметки о выкупе под названием !!!READ_ME.txt на взломанные устройства.
Эти заметки о выкупе также включают адрес сайта Tor (gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion), который жертвам предлагается посетить, чтобы получить дополнительную информацию о том, сколько им придется заплатить, чтобы восстановить доступ к своим файлам.
Страницы жертв Tor, просматриваемые BleepingComputer с момента начала этой новой серии атак Qlocker, отображают требования выкупа в диапазоне от 0,02 до 0,03 биткойнов.
Дополнительную информацию о том, что делать, если кампания вымогателя QLocker2 затронула вас, можно найти в этой теме поддержки (тему кампании Qlocker 2021 можно найти здесь).
Вы также можете ознакомиться со старым руководством о том, как восстановить данные с устройств NAS, скомпрометированных в результате прошлогодних атак программы-вымогателя Qlocker.
С момента возвращения Qlocker 6 января затронутые пользователи QNAP отправили в службу ID-Ransomware десятки заметок с требованием выкупа и зашифрованных файлов.
К сожалению, Qlocker — не единственная программа-вымогатель, нацеленная на устройства QNAP NAS, о чем свидетельствует всплеск атак программы-вымогателя ech0raix, начавшийся прямо перед Рождеством.
Ранее в этом месяце компания также предупредила своих клиентов о необходимости защитить устройства NAS, открытые в Интернете, от продолжающихся атак программ-вымогателей и грубой силы, отключив переадресацию портов на своих маршрутизаторах и функцию UPnP на своих устройствах.
В прошлом году QNAP также уведомила клиентов о необходимости защитить свои устройства от входящих атак, в том числе от программ-вымогателей Agelocker и eCh0raix.
Производитель NAS рекомендует применять следующие передовые методы, если вы хотите защитить свое устройство QNAP от дальнейших атак.
https://www.bleepingcomputer.com/news/security/qlocker-ransomware-returns-to-target-qnap-nas-devices-worldwide/
Недавно в дикой природе появилось новое семейство программ-вымогателей под названием «White Rabbit», и, согласно недавним исследованиям, оно может быть побочной операцией хакерской группы FIN8.
Простой инструмент для двойного вымогательства
Первое публичное упоминание о программе-вымогателе White Rabbit было в твите эксперта по программам-вымогателям Майкла Гиллеспи, который искал образец вредоносного ПО.
В новом отчете Trend Micro исследователи анализируют образец программы-вымогателя White Rabbit, полученный во время атаки на банк США в декабре 2021 года.
Исполняемый файл программы-вымогателя представляет собой небольшую полезную нагрузку размером 100 КБ и требует ввода пароля при выполнении командной строки для расшифровки вредоносной полезной нагрузки.
Пароль для выполнения вредоносной полезной нагрузки ранее использовался другими операциями программ-вымогателей, включая Egregor, MegaCortex и SamSam.
После запуска с правильным паролем программа-вымогатель сканирует все папки на устройстве и шифрует целевые файлы, создавая примечания о выкупе для каждого зашифрованного файла.
Например, файл с именем test.txt будет зашифрован как test.txt.scrypt, а примечание о выкупе будет создано с именем test.txt.scrypt.txt.
При шифровании устройства также используются съемные и сетевые диски, при этом системные папки Windows исключаются из шифрования, чтобы предотвратить вывод операционной системы из строя.
Записка о выкупе информирует жертву о том, что ее файлы были похищены, и угрожает опубликовать и/или продать украденные данные, если требования не будут выполнены.
Крайний срок для выплаты выкупа жертвой установлен на четыре дня, после чего субъекты угрожают отправить украденные данные в органы по защите данных, что приводит к штрафам за утечку данных GDPR.
Доказательства украденных файлов загружаются в такие сервисы, как «paste[.]com» и «file[.]io», а жертве предлагается канал общения в чате с действующими лицами на сайте переговоров Tor.
Сайт Tor включает в себя «Главную страницу», используемую для отображения доказательств украденных данных, и раздел чата, где жертва может общаться с злоумышленниками и договариваться о требовании выкупа
Ссылки на FIN8
Как отмечается в отчете Trend Micro, доказательства связи FIN8 и «Белого кролика» обнаруживаются на этапе развертывания программы-вымогателя.
В частности, новая программа-вымогатель использует невиданную ранее версию Badhatch (также известную как «Sardonic»), бэкдор, связанный с FIN8.
Как правило, эти субъекты хранят свои собственные бэкдоры при себе и продолжают разрабатывать их в частном порядке.
Этот вывод также подтверждается другим отчетом о том же семействе программ-вымогателей, подготовленным исследователями Lodestone.
Они также обнаружили Badhatch в атаках «Белого кролика», а также заметили артефакты PowerShell, похожие на активность, связанную с FIN8 прошлым летом.
В отчете Lodestone делается вывод: «Lodestone выявил ряд TTP, предполагающих, что White Rabbit, если он действует независимо от FIN8, имеет тесные отношения с более известной группой угроз или имитирует их».
На данный момент White Rabbit ограничился тем, что нацелился только на несколько организаций, но считается новой угрозой, которая в будущем может превратиться в серьезную угрозу для компаний.
На этом этапе его можно сдержать, приняв стандартные меры по борьбе с программами-вымогателями, например следующие:
Развертывание многоуровневых решений для обнаружения и реагирования.
Создайте сценарий реагирования на инциденты для предотвращения атак и восстановления.
Проведите моделирование атак программ-вымогателей, чтобы выявить пробелы и оценить производительность.
Выполняйте резервное копирование, тестируйте резервные копии, проверяйте резервные копии и сохраняйте резервные копии в автономном режиме.
https://www.bleepingcomputer.com/news/security/new-white-rabbit-ransomware-linked-to-fin8-hacking-group/
ФБР официально связало операцию по вымогательству Diavol с группой TrickBot, разработчиками вредоносного ПО, стоящего за печально известным банковским трояном TrickBot.
TrickBot, также известная как Wizard Spider, является разработчиком вредоносных программ, которые годами разрушали корпоративные сети, обычно приводя к атакам программ-вымогателей Conti и Ryuk, проникновению в сеть, финансовому мошенничеству и корпоративному шпионажу.
TrickBot наиболее известна своим одноименным банковским трояном TrickBot, но также стоит за разработкой бэкдоров BazarBackdoor и Anchor.
Предыдущий анализ связывал Diavol с TrickBot Group
В июле 2021 года исследователи из FortiGuard Labs опубликовали анализ новой программы-вымогателя под названием Diavol (по-румынски «дьявол»), нацеленной на корпоративных жертв.
Исследователи видели, как полезные нагрузки программ-вымогателей Diavol и Conti были развернуты в сети в ходе одной и той же атаки программ-вымогателей в начале июня 2021 года.
После анализа двух образцов программ-вымогателей были обнаружены сходства, такие как использование ими асинхронных операций ввода-вывода для организации очереди шифрования файлов и почти идентичные параметры командной строки для одной и той же функциональности.
В то время не было достаточно доказательств, чтобы официально связать две операции.
Однако месяц спустя исследователи IBM X-Force установили более сильную связь между программой-вымогателем Diavol и другими вредоносными программами TrickBot Gang, такими как Anchor и TrickBot.
ФБР связывает вирус-вымогатель Diavol с группой TrickBot
Сегодня ФБР официально объявило, что они связали операцию Diavol Ransomware с TrickBot Gang в новом информационном бюллетене по индикаторам компрометации, замеченным в предыдущих атаках.
«ФБР впервые узнало о программе-вымогателе Diavol в октябре 2021 года. Diavol связан с разработчиками из Trickbot Group, которые несут ответственность за банковский троян Trickbot», — говорится в новом бюллетене FBI Flash.
С тех пор ФБР получало требования о выкупе в размере от 10 000 до 500 000 долларов, причем после переговоров о выкупе принимались более низкие платежи.
Эти суммы резко контрастируют с более высокими выкупами, требуемыми другими программами-вымогателями, связанными с TrickBot, такими как Conti и Ryuk, которые исторически просили многомиллионные выкупы.
Например, в апреле операция по вымогательству Conti потребовала 40 миллионов долларов от школьного округа округа Бровард во Флориде и 14 миллионов долларов от производителя чипов Advantech.
ФБР, вероятно, смогло официально связать Diavol с бандой TrickBot после ареста Аллы Витте, латвийки, участвовавшей в разработке программы-вымогателя для групп вредоносных программ.
Виталий Кремез, генеральный директор AdvIntel, отслеживавший операции TrickBot, сообщил BleepingComputer, что Витте отвечал за разработку нового вымогателя, связанного с TrickBot.
«Алла Витте сыграла решающую роль в операциях TrickBot и, основываясь на предыдущем глубоком состязательном анализе AdvIntel, она отвечала за разработку программы-вымогателя Diavol и внешнего/внутреннего проекта, предназначенного для поддержки операций TrickBot со специальным программным обеспечением-вымогателем с обратным подключением ботов между TrickBot и Diavol», — сказал Кремез в разговоре с BleepingComputer.
«Другое название программы-вымогателя Diavol — программа-вымогатель Enigma, которую использовала команда TrickBot до ребрендинга Diavol».
Рекомендация ФБР содержит многочисленные индикаторы компрометации и меры по устранению последствий для Diavol, что делает ее незаменимой для всех специалистов по безопасности и администраторов Windows/сетей.
Следует отметить, что программа-вымогатель Diavol изначально создавала заметки о выкупе под названием «README_FOR_DECRYPT.txt», как указано в бюллетене ФБР, но BleepingComputer видел, как банда вымогателей в ноябре переключилась на заметки о выкупе под названием «Warning.txt».
https://www.bleepingcomputer.com/news/security/fbi-links-diavol-ransomware-to-the-trickbot-cybercrime-group/
Рекомендуемые меры:
Модель RaaS снижает барьер входа в мир киберпреступности, в результате чего количество атак программ-вымогателей, которые мы наблюдаем, растет как никогда раньше.
За последние несколько лет программы-вымогатели стали одним из основных источников дохода в экосистеме киберпреступности, с более частым вымогательством путем шантажа жертв, угроз обнародования украденных данных и, в некоторых случаях, нанесения им распределенного отказа в обслуживании ( DDoS-атаки.
В этом сообщении блога исследуется активность, сходства и совпадения между несколькими семействами программ-вымогателей, связанных с программой-вымогателем AVADDON, которые служат примером для понимания того, как операторы программ-вымогателей думают и продолжают получать прибыль в постоянно развивающейся экосистеме киберпреступности.
Различные сервисы RaaS преобладали в компрометации критически важных целей, что приводило к серьезным воздействиям на сети жертв и к значительным требованиям выкупа. AVADDON — одна из таких служб вымогателей.
Злоумышленник, стоящий за службой вымогателей AVADDON, начал свою деятельность в июне 2020 года и продолжал свою деятельность до июня 2021 года. Служба, по-видимому, была быстро закрыта, а закрытые ключи шифрования были выпущены, поскольку правительства уделили приоритетное внимание борьбе с операциями программ-вымогателей с помощью нового законодательства и активизации правоохранительных операций.
Служба вымогателей AVADDON
В июне 2020 года Mandiant сообщил, что Avaddon рекламирует партнерскую программу AVADDON по вымогательству (RaaS) на форумах exploit[.]in и xss[.]is. В марте 2021 года злоумышленник Avaddon опубликовал обновление для AVADDON RaaS, чтобы объявить о разработке AVADDON V2, а позже в том же году включил функцию DDoS, предназначенную для принуждения жертв к выплате выкупа.
Панель AVADDON была размещена в скрытой службе TOR (домен .onion) и была предоставлена аффилированным лицам AVADDON для отслеживания жертв и их платежей, отслеживания сборок, предоставления системы поддержки, а также просмотра статистики и связанных новостей. публикации. Как и в случае операций RaaS, прибыль AVADDON делится в соответствии с их Условиями обслуживания, указанными операторами AVADDON, изначально структурированными с 65% прибыли, полученной для аффилированного лица, и 35% для операторов службы вымогателей (это может быть изменено сервис RaaS). Однако это может варьироваться в зависимости от количества жертв на одного аффилированного лица, а это означает, что процент прибыли для аффилированного лица может быть выше, если количество вторжений значительно увеличится.
Филиалы
Компания Mandiant выявила несколько аффилированных лиц AVADDON, причастных к целенаправленным разрушительным атакам с использованием программ-вымогателей AVADDON.
В этих атаках использовались различные тактики, методы и процедуры (TTP), в том числе:
Скомпрометированные учетные данные от предыдущих вторжений. В одном случае Mandiant обнаружил доказательства того, что аффилированное лицо AVADDON работало с брокером первоначального доступа, чтобы закрепиться в среде жертвы.
Пользовательские вредоносные программы, такие как веб-оболочки BLACKCROW и DARKRAVEN, для поддержания доступа и взаимодействия со скомпрометированным сервером.
Общедоступный инструмент удаленного администрирования SYSTEMBC для взаимодействия со скомпрометированными хостами.
Протокол удаленного рабочего стола Windows (RDP) для бокового перемещения.
Атака WDigest на более раннюю версию в сочетании с SHARPDUMP или MIMIKATZ для вывода учетных данных в открытом виде из памяти.
Фреймворки и сценарии с открытым исходным кодом, такие как EMPIRE и POWERSPLOIT, для действий после эксплуатации.
Запланированная задача Windows для сохранения.
Общедоступные инструменты сканирования, такие как SoftPerfect Network Scanner, для внутренней разведки.
Общедоступные инструменты для удаления руткитов, такие как GMER, PowerTool и TDSSKiller, для отключения программного обеспечения для защиты системы.
Служба ProtonMail для отправки и получения данных изначально на ранних этапах вторжения.
Общедоступный инструмент архивации 7Zip и инструмент синхронизации облачного хранилища MEGAsync для подготовки и извлечения данных.
Что касается TTP, то Mandiant отмечает, что для разных целей на разных этапах вторжения широко используются инструменты с открытым исходным кодом и общедоступные инструменты.
Соединение точек
Mandiant продолжает наблюдать за изощренными TTP и расширением сотрудничества между различными и специализированными субъектами угроз, каждый из которых играет определенную роль в операции вторжения, и наблюдал предыдущие случаи ребрендинга, когда новая служба программ-вымогателей согласовывалась с другой, что предполагает сотрудничество между операторами программ-вымогателей.
Mandiant сообщил о нескольких случаях потенциального ребрендинга и связях между RaaS, такими как семейства программ-вымогателей BLACKMATTER и SABBATH, и сообщил о возможности ребрендинга на AVADDON после закрытия RaaS.
Субъекты угроз, стоящие за RaaS, могут выбрать ребрендинг по разным причинам, включая исправление недостатков операционной безопасности и восприятие снижения риска того, что правоохранительные органы нарушат их работу.
Компания Mandiant отследила AVADDON и проанализировала его несколько версий вместе с потенциальными семействами программ-вымогателей, с которыми он имеет сходство. В апреле 2021 года компания Mandiant выявила многочисленные сервисы программ-вымогателей, рекламирующие на подпольных форумах под разными брендами, но имеющие определенные отношения с AVADDON еще в 2019 году.
Анализ программ-вымогателей AVADDON
AVADDON шифрует файлы, хранящиеся локально и на подключенных сетевых ресурсах. Он останавливает целевые процессы и службы перед шифрованием файлов. Компания Mandiant наблюдала за тремя основными версиями выпуска. Дополнительные сведения о различиях в методологии шифрования см. в разделе «Эволюция шифрования AVADDON».
Программа-вымогатель содержит возможности разведки хоста для получения системного идентификатора кода языка (LCID) и раскладки клавиатуры и завершает работу, если обнаружены следующие языки: русский, украинский, татарский (русский) или саха (русский). Это соответствует одной из обязательных политик, которой должны придерживаться филиалы AVADDON: полный запрет операций программ-вымогателей на территории Содружества Независимых Государств (СНГ).
AVADDON работает аналогично другим образцам программ-вымогателей и содержит встроенную конфигурацию. Конфигурация AVADDON хранится в виде глобальных переменных stdstring, которые инициализируются до main как глобальный инициализатор C++. Строки декодируются по мере необходимости во время выполнения. Все кодирование конфигурации выполняется с использованием Base64 и нескольких итераций арифметических операций с использованием жестко запрограммированного однобайтового ключа, который варьируется в зависимости от двоичного файла.
Поток выполнения AVADDON начинается с остановки и удаления служб и процессов, которые могут прервать его работу. Затем конфигурация запускает несколько команд, которые не позволяют пользователю выполнить восстановление из резервной копии. Наконец, программа-вымогатель начинает свою операцию шифрования, рекурсивно перебирая локальные диски и общие сетевые ресурсы, избегая при этом каталогов и файлов с определенными расширениями.
AVADDON ищет следующие строки, относящиеся к виртуальным машинам, резервным копиям и антивирусным службам, чтобы остановить и удалить их:
Следующие процессы остановлены. Программа-вымогатель хранит сокращенную форму полного имени процесса, но, похоже, она не используется во время идентификации или завершения процесса.
AVADDON удаляет теневые тома Windows и очищает корзину, чтобы избежать восстановления файлов. Затем он выполняет команды антивосстановления. Наконец, чтобы предотвратить перезапуск системы, AVADDON использует Windows Restart Manager, добавляя активно зашифрованные файлы в реестр Restart Manager.
Следующие каталоги исключены из процесса шифрования и одинаковы для разных версий AVADDON.
Кроме того, исключаются каталоги, содержащие следующие ключевые слова.
При шифровании файловой системы исключаются следующие расширения, чтобы обеспечить возможность восстановления системы после уплаты выкупа с помощью предоставленного расшифровщика.
Программа-вымогатель включает в себя опрос хоста как часть записки о выкупе. Опрос хоста состоит из двух частей, разделенных дефисом и закодированных в Base64. Первая часть представляет собой открытый текстовый идентификатор жертвы, вторая часть представляет собой зашифрованную RSA структуру данных JSON, содержащую поля:
Эволюция шифрования AVADDON
Первоначально AVADDON генерировал один ключ AES-256, находящийся в памяти во время процесса шифрования, этот ключ оставался резидентным до завершения процесса и использовался для шифрования каждого файла. Это позволило исследователям разработать инструмент дешифратора, выпущенный в феврале 2021 года на GitHub, злоупотребляя этой уязвимостью и удаляя криптографические материалы из приостановленного процесса. Разработчики программы-вымогателя исправили эту проблему, сгенерировав один ключ AES для каждого зашифрованного файла.
AVADDON при первоначальном выпуске использовал один ключ AES для шифрования всех файлов. Есть три способа восстановить сеансовый ключ AES файла:
Записка о выкупе, как часть идентификатора жертвы, требует закрытого ключа RSA злоумышленников.
К каждому файлу добавлен нижний колонтитул, содержащий сеансовый ключ, используемый для шифрования файла. Ключ можно извлечь с помощью закрытого ключа RSA.
Найдите резидентный ключ сеанса в памяти.
Позже AVADDON перешел к использованию метода «один ключ на файл», который разрешил третий вопрос поиска ключа, находящегося в памяти. Два других метода требуют закрытого ключа и поэтому защищены. Одно интересное примечание: ключ AES, сгенерированный и сохраненный в примечании о выкупе для более поздних версий, никогда не используется, только сеансовые ключи, хранящиеся в файле, верны, это остаток перехода к методологии «один ключ на файл» вместо одного ключа. который может быть сохранен один раз.
Анализ образцов AVADDON, содержащих исправление для шифрования файлов, показал замену используемых структур C++ на глобальные переменные, что указывает на быстрое исправление, сделанное злоумышленниками, разрабатывающими AVADDON.
Образцы, наблюдаемые позже в 2021 году с отметками времени PE от апреля 2021 года, включают такие улучшения, как добавление многопоточности IOCompletionPort и повторная замена этих глобальных переменных структурами, как в исходном выпуске.
Это указывает на то, что субъект угрозы реализовал быстрое исправление после выпуска дешифратора PoC, чтобы продолжить работу, пока разрабатывались улучшенные и более согласованные версии программного обеспечения.
Кроме того, в последних версиях AVADDON была функция принудительного перезапуска хоста-жертвы в безопасном режиме перед шифрованием файловой системы путем предоставления параметра командной строки «-safe» исполняемому файлу шифровальщика; имитируя другие службы RaaS, в которых реализованы аналогичные функции в попытке обойти антивирусное программное обеспечение и EDR.
https://www.mandiant.com/resources/chasing-avaddon-ransomware
QNAP снова предупреждает клиентов о необходимости защитить свои сетевые устройства хранения данных (NAS), подключенные к Интернету, для защиты от продолжающихся и широко распространенных атак, нацеленных на их данные, с помощью нового штамма программы-вымогателя DeadBolt.
«DeadBolt широко нацелен на все NAS, подключенные к Интернету без какой-либо защиты, и шифрует данные пользователей с целью получения выкупа в биткойнах», — говорится в опубликованном сегодня заявлении компании.
«Ваш NAS подключен к Интернету и подвергается высокому риску, если на приборной панели отображается сообщение «Служба системного администрирования может быть напрямую доступна с внешнего IP-адреса по следующим протоколам: HTTP».
Всем пользователям QNAP настоятельно рекомендуется «немедленно обновить QTS до последней доступной версии», чтобы заблокировать входящие атаки программ-вымогателей DeadBolt.
Производитель NAS также советует клиентам немедленно отключить переадресацию портов на своем маршрутизаторе и функцию UPnP NAS QNAP, выполнив следующие действия:
Отключите функцию переадресации портов маршрутизатора: перейдите в интерфейс управления маршрутизатора, проверьте настройки виртуального сервера, NAT или переадресации портов и отключите параметр переадресации порта службы управления NAS (порт 8080 и 433 по умолчанию).
Отключите функцию UPnP QNAP NAS: перейдите в myQNAPcloud в меню QTS, нажмите «Автоматическая настройка маршрутизатора» и снимите флажок «Включить переадресацию портов UPnP».
Вы также можете использовать это подробное пошаговое руководство, чтобы отключить соединения SSH и Telnet, изменить номер системного порта и пароли устройств, а также включить защиту доступа к IP-адресу и учетной записи.
Группа программ-вымогателей DeadBolt начала атаковать пользователей QNAP 25 января, шифруя файлы на скомпрометированных устройствах NAS и добавляя к файлам расширение .deadbolt.
Злоумышленники не размещают заметки о выкупе на зашифрованных устройствах, а вместо этого они захватывают страницы входа в систему, чтобы отображать предупреждающие экраны с надписью «ВНИМАНИЕ: ваши файлы были заблокированы DeadBolt».
Экран выкупа просит жертв заплатить 0,03 биткойна (примерно 1100 долларов США) на уникальный биткойн-адрес, сгенерированный для каждой жертвы, утверждая, что ключ дешифрования будет отправлен на тот же адрес блокчейна в поле OP_RETURN после прохождения платежа.
На данный момент нет никаких подтверждений того, что злоумышленники действительно выполнят свое обещание отправить рабочий ключ дешифрования после уплаты выкупа.
Эти продолжающиеся атаки программ-вымогателей DeadBolt затрагивают только незащищенные устройства NAS, и, учитывая, что злоумышленники также заявляют об использовании ошибки нулевого дня, рекомендуется отключить их от Интернета, как рекомендует QNAP в сегодняшнем предупреждении.
Банда DeadBolt также просит QNAP заплатить 50 биткойнов (около 1,85 миллиона долларов) за нулевой день и главный ключ дешифрования для расшифровки файлов для всех пострадавших жертв.
Сегодняшнее предупреждение является третьим, выпущенным QNAP для предупреждения клиентов об атаках программ-вымогателей, нацеленных на их устройства NAS, открытые в Интернете, за последние 12 месяцев.
Ранее они были предупреждены об атаках программ-вымогателей eCh0raix в мае и атаках программ-вымогателей AgeLocker в апреле.
https://www.bleepingcomputer.com/news/security/qnap-warns-of-new-deadbolt-ransomware-encrypting-nas-devices/
LockBit — одна из кибергрупп, чей шифровальщик Linux, как было обнаружено, фокусируется на шифровании виртуальных машин VMware ESXi.
Предприятия все чаще переходят на виртуальные машины для экономии компьютерных ресурсов, консолидации серверов и упрощения резервного копирования.
Из-за этого кибергруппы развили свою тактику для создания шифровальщиков Linux, специально предназначенных для популярных платформ виртуализации VMware vSphere и ESXi за последний год.
Хотя ESXi не является строго Linux, он имеет много общих характеристик, включая возможность запуска исполняемых файлов ELF64 Linux.
Lockbit нацелен на серверы VMware ESXi
В октябре LockBit начал продвигать новые функции своей операции Ransomware-as-a-Service на хакерских форумах RAMP, включая новый шифровальщик Linux, нацеленный на виртуальные машины VMware ESXi.
В новом отчете исследователи Trend Micro проанализировали шифровальщик Linux и объяснили, как он используется для атаки на установки VMWare ESXi и vCenter.
Шифрователи Linux не являются чем-то новым: Ранее сообщалось об аналогичных шифровальщиках в прошлом из операций HelloKitty, BlackMatter, REvil, AvosLocker и программ-вымогателей Hive.
Как и другие шифровальщики Linux, LockBit предоставляет интерфейс командной строки, позволяющий аффилированным лицам включать и отключать различные функции для адаптации своих атак.
Эти функции включают в себя возможность указать размер файла и количество байтов для шифрования, остановить ли запуск виртуальных машин или стереть свободное пространство после этого, как показано на изображении ниже.
Однако то, что выделяет шифровальщик LockBit linux, — это широкое использование утилит командной строки VMware ESXI и VMware vCenter для проверки того, какие виртуальные машины работают, и для их корректного завершения, чтобы они не были повреждены во время шифрования.
Полный список команд, видимых Trend Micro в шифраторе LockBit, приведен ниже:
Trend Micro заявляет, что шифровальщик использует AES для шифрования файлов и алгоритмы криптографии на эллиптических кривых (ECC) для шифрования ключей дешифрования.
С широким использованием VMware ESXI на предприятии все специалисты по защите сетей и безопасности должны ожидать, что каждая крупная операция по вымогательству уже разработала вариант Linux.
Делая это предположение, администраторы и специалисты по безопасности могут создавать соответствующие средства защиты и планы для защиты всех устройств в своих сетях, а не только устройств Windows.
Это особенно верно для операции LockBit, которая стала самой заметной операцией по борьбе с вымогателями после закрытия REvil и гордится скоростью и набором функций своих шифровальщиков.
Также очень важно помнить, что пока мы наблюдаем за кибергруппой, они также наблюдают за нами в ответ.
Это означает, что они отслеживают социальные каналы исследователей и журналистов на предмет новейших тактик, средств защиты и уязвимостей, которые они затем могут использовать против корпоративных целей.
В связи с этим группы постоянно совершенствуют свои методы шифрования и тактику, чтобы оставаться на шаг впереди систем безопасности и администраторов Windows.
https://www.bleepingcomputer.com/news/security/linux-version-of-lockbit-ransomware-targets-vmware-esxi-servers/
Федеральное бюро расследований (ФБР) опубликовало технические детали и индикаторы компрометации, связанные с атаками программ-вымогателей LockBit, в новом оперативном предупреждении, опубликованном в эту пятницу.
С перезапуском кибергруппа изменила дизайн сайтов Tor и переработала вредоносное ПО, добавив более продвинутые функции, включая автоматическое шифрование устройств в доменах Windows с помощью групповых политик Active Directory.
LockBit теперь также пытается устранить посредников, вербуя инсайдеров, чтобы предоставить им доступ к корпоративным сетям через виртуальную частную сеть (VPN) и протокол удаленного рабочего стола (RDP).
В январе было обнаружено, что LockBit также добавила в свой инструментарий шифровальщик Linux, предназначенный для серверов VMware ESXi.
Среди технических подробностей о том, как работает программа-вымогатель LockBit, ФБР также сообщило, что вредоносная программа поставляется со скрытым окном отладки, которое можно активировать в процессе заражения с помощью сочетания клавиш SHIFT + F1.
Как только он появится, его можно использовать для просмотра информации о процессе шифрования в режиме реального времени и отслеживания статуса уничтожения пользовательских данных.
Компании попросили сообщить об атаках программ-вымогателей LockBit
Хотя ФБР не сообщило, что вызвало это экстренное оповещение, оно попросило администраторов и специалистов по кибербезопасности поделиться информацией об атаках LockBit, нацеленных на сети их компаний.
«ФБР ищет любую информацию, которая может быть передана, [включая] пограничные журналы, показывающие связь с иностранными IP-адресами и с них, образец записки о выкупе, сообщения с злоумышленниками, информацию о биткойн-кошельке, файл дешифратора и / или доброкачественный образец зашифрованного файла», — говорится в сообщении федерального агентства.
«ФБР призывает получателей этого документа сообщать информацию о подозрительной или преступной деятельности в местное отделение ФБР.
«Сообщая любую связанную информацию киберотрядам ФБР, вы помогаете обмениваться информацией, которая позволяет ФБР отслеживать злоумышленников и координировать свои действия с частным сектором и правительством США для предотвращения будущих вторжений и атак».
ФБР также предоставляет меры по смягчению последствий, которые помогут защитникам защитить свои сети от попыток атак программ-вымогателей LockBit:
Требовать, чтобы все учетные записи с паролем (например, учетная запись службы, учетная запись администратора и учетная запись администратора домена) имели надежные уникальные пароли.
Насколько это возможно, требовать многофакторной аутентификации для всех служб.
Поддерживайте все операционные системы и программное обеспечение в актуальном состоянии
Удалите ненужный доступ к административным общим ресурсам
Используйте брандмауэр на основе хоста, чтобы разрешать подключения к административным общим ресурсам через блок сообщений сервера (SMB) только с ограниченного набора компьютеров администратора.
Включите защищенные файлы в операционной системе Windows, чтобы предотвратить несанкционированное изменение важных файлов.
Администраторы также могут помешать операторам программ-вымогателей обнаружить сети, приняв следующие меры:
Сегментируйте сети, чтобы предотвратить распространение программ-вымогателей
Идентифицируйте, обнаруживайте и исследуйте аномальную активность и потенциальный обход указанной программы-вымогателя с помощью инструмента сетевого мониторинга.
Реализовать повременной доступ для учетных записей, установленных на уровне администратора и выше.
Отключить действия и разрешения командной строки и сценариев
Поддерживайте автономные резервные копии данных и регулярно выполняйте резервное копирование и восстановление
Убедитесь, что все данные резервного копирования зашифрованы, неизменны и охватывают всю инфраструктуру данных организации.
https://www.bleepingcomputer.com/news/security/fbi-shares-lockbit-ransomware-technical-details-defense-tips/
BlackCat/ALPHV — это новая многофункциональная программа-вымогатель, запущенная в ноябре 2021 года и разработанная на языке программирования Rust, что необычно для заражения программами-вымогателями.
Исполняемый файл программы-вымогателя обладает широкими возможностями настройки, а различные методы и параметры шифрования позволяют проводить атаки на широкий спектр корпоративных сред.
Краткая история ребрендинга программ-вымогателей
Многие операции с программами-вымогателями выполняются как программа-вымогатель как услуга (RaaS), где основные члены отвечают за разработку заражения программами-вымогателями и управление серверами, а аффилированные лица (также известные как «реклама») нанимаются для взлома корпоративных сетей и проведения атак. .
Эти первоклассные операции Ransomware-as-a-Service и их ребрендинг:
GandCrab to REvil: Операция по вымогательству GandCrab была запущена в январе 2018 года и закрыта в июне 2019 года после заявления о том, что она заработала 2 миллиарда долларов в виде выкупа. Они были перезапущены под названием REvil в сентябре 2019 года, но в конечном итоге закрылись в октябре 2021 года после того, как правоохранительные органы захватили их инфраструктуру.
Maze to Egregor: программа-вымогатель Maze начала работать в мае 2019 года и официально объявила о своем закрытии в октябре 2020 года. Однако считается, что в сентябре аффилированные лица и, вероятно, операторы переименовались в Egregor, который позже исчез после ареста участников в Украине.
DarkSide to BlackMatter: операция по вымогательству DarkSide была запущена в августе 2022 года и закрыта в мае 2021 года из-за операций правоохранительных органов, спровоцированных широко разрекламированной атакой на Colonial Pipeline. Они вернулись как BlackMatter 31 июля, но вскоре закрылись в ноябре 2021 года после того, как Emsisoft воспользовалась уязвимостью для создания расшифровщика, и серверы были захвачены.
Некоторые считают, что Conti была ребрендингом Ryuk, но источники сообщают, что обе они являются отдельными операциями, управляемыми TrickBot Group, и не связаны друг с другом.
С момента запуска программы-вымогателя BlackCat в ноябре представитель группы LockBit заявил, что ALPHV/BlackCat является ребрендингом DarkSide/BlackMatter.
The Record опубликовал интервью с бандой ALPHV/BlackCat, которая подтвердила подозрения, что они связаны с группой DarkSide/BlackMatter.
Аналитик по угрозам Emsisoft Бретт Кэллоу считает, что BlackMatter заменила их команду разработчиков после того, как Emsisoft воспользовалась уязвимостью, позволяющей жертвам бесплатно восстанавливать свои файлы и теряющей банду вымогателей миллионы долларов в виде выкупа.
«Хотя Alphv утверждают, что являются бывшими аффилированными лицами DS/BM, более вероятно, что они *являются* DS/BM, но пытаются дистанцироваться от этого бренда из-за репутационного удара, нанесенного после совершения ошибки, которая обошлась аффилированным лицам в несколько миллионов долларов. "Кэллоу написал вчера в твиттере.
Поскольку шифратор BlackCat был создан с нуля на языке программирования Rust, Фабиан Восар из Emsisoft сообщил, что такого сходства кодов больше не существует.
Тем не менее, Восар сказал, что есть сходство в функциях и файлах конфигурации, подтверждая, что это одна и та же группа, стоящая за операциями вымогателей BlackCat и DarkSide/BlackMatter.
Независимо от того, являются ли они просто бывшими аффилированными лицами, решившими запустить собственную операцию по вымогательству, или ребрендингом DarkSide/BlackMatter, они продемонстрировали способность проводить крупные корпоративные атаки и быстро накапливать жертв.
BlackCat станет операцией по вымогательству, за которой должны внимательно следить все правоохранительные органы, сетевые защитники и специалисты по безопасности.
повторяют свои ошибки
По иронии судьбы, то, что привело к краху операций DarkSide/BlackMatter, в конечном итоге может стать причиной быстрой кончины BlackCat/ALPHV.
На этой неделе BlackCat атаковала немецкого дистрибьютора бензина Oiltanking и поставщика нефти Mabanaft GmbH.
Эти атаки в очередной раз затронули цепочку поставок топлива и вызвали нехватку газа.
https://www.bleepingcomputer.com/news/security/blackcat-alphv-ransomware-linked-to-blackmatter-darkside-gangs/
TrickBot — это вредоносная платформа Windows, которая использует несколько модулей для различных вредоносных действий, включая кражу информации, кражу паролей, проникновение в домены Windows, первоначальный доступ к сетям и доставку вредоносных программ.
TrickBot доминирует на рынке вредоносных программ с 2016 года, сотрудничая с кибергруппами ransomware и вызывая хаос на миллионах устройств по всему миру.
Ryuk изначально сотрудничала с TrickBot для первоначального доступа к работам, но была заменена Conti Ransomware, которая использовала вредоносное ПО в течение прошлого года для получения доступа к корпоративным сетям.
Conti берет на себя управление TrickBot
Исследователи компании Advanced Intelligence (AdvIntel), занимающейся киберпреступностью и противодействием, заметили, что в 2021 году Conti стала единственным бенефициаром высококачественного доступа к сети от TrickBot.
К этому времени основная команда разработчиков TrickBot уже создала более незаметную вредоносную программу BazarBackdoor, используемую в основном для удаленного доступа к ценным корпоративным сетям, где могут быть развернуты программы-вымогатели.
Поскольку троян TrickBot стал легко обнаруживаться антивирусными поставщиками, злоумышленники начали переключаться на BazarBackdoor для начального доступа к сетям, поскольку он был разработан специально для скрытого взлома важных целей.
Однако к концу 2021 года Conti удалось привлечь «нескольких элитных разработчиков и менеджеров» ботнета TrickBot, превратив операцию в свою дочернюю компанию, а не в партнера, отмечается в отчете AdvIntel.
AdvIntel сообщает, что BazarBackdoor перешел из набора инструментов TrickBot в автономный инструмент, разработка которого контролируется кибергруппой Conti.
Главный администратор Conti заявил, что они контролируют TrickBot. Однако, поскольку «бот мертв», они переводят Conti с TrickBot на BazarBackdoor в качестве основного способа получения первоначального доступа.
«После того, как Conti «приобрела» TrickBot, теперь у них много потенциальных клиентов с надежной почвой под ними, и Conti всегда найдет способ использовать имеющиеся таланты», — AdvIntel.
С момента своего запуска операция Conti придерживалась норм поведения, который позволил ей стать одной из самых устойчивых и прибыльных групп вымогателей, которую не беспокоят репрессии правоохранительных органов в отношении ее конкурентов.
AdvIntel говорит, что группа смогла вести свой обычный киберпреступный бизнес, приняв модель «основанную на доверии и команде» вместо работы со случайными аффилированными лицами, которые вызвали бы действия со стороны правоохранительных органов из-за организаций, которые они атаковали.
https://www.bleepingcomputer.com/news/security/conti-ransomware-gang-takes-over-trickbot-malware-operation/
Атаки программ-вымогателей распространились на промышленный сектор в прошлом году до такой степени, что этот тип инцидентов стал угрозой номер один в промышленном секторе.
В 2021 году две группы программ-вымогателей, LockBit и Conti, наиболее активно компрометировали организации с помощью среды Industrial Control System (ICS)/Operational Technology (OT).
Угроза программ-вымогателей часто встречается в производственном секторе
В сегодняшнем отчете компании Dragos, занимающейся промышленной кибербезопасностью, подчеркивается, что промышленный сектор стал более привлекательной целью как для финансово мотивированных противников, так и для субъектов, связанных с группами, спонсируемыми государством.
Отслеживая активность угроз в промышленном секторе в прошлом году, компания обнаружила всплеск инцидентов с программами-вымогателями, нацеленными на сети АСУ ТП.
Согласно выводам Dragos, наиболее распространенными целями для групп программ-вымогателей были промышленные предприятия: 211 атак составили 65%, за ними следуют 35 успешных компрометаций компаний, работающих в сфере производства продуктов питания и напитков, и 27 атак на предприятия транспортного сектора.
Исследователи отмечают, что производственная вертикаль больше всего подвержена атакам, потому что этот «сектор часто наименее зрел в своих средствах защиты безопасности OT».
Обзор безопасности этих компаний выявляет тревожную тенденцию, говорят исследователи на основе данных, собранных во время взаимодействия с клиентами.
Многие организации имеют очень ограниченный обзор инфраструктуры, не могут должным образом сегментировать периметр сети, имеют много устройств с внешним подключением и большой процент общих учетных данных между корпоративной сетью (ИТ) и средой ОТ.
Описанные выше проблемы закладывают основу для успешных атак, позволяя злоумышленникам перемещаться из ИТ-сети в сегмент ОТ, даже если взлом последнего не является основной целью.
Это позволило угрозе программ-вымогателей стать причиной номер один компрометации в промышленном секторе, отмечают исследователи в отчете.
«Хотя программы-вымогатели в основном нацелены на корпоративные ИТ-системы, в ряде случаев они влияют на OT напрямую и в интегрированных средах ИТ и OT», — Dragos.
Получив доступ к ИТ-сети для выполнения компонента программы-вымогателя, злоумышленники могут перемещаться в OT-системы, что позволяет им запрашивать более крупные выкупы, оказывая более разрушительное воздействие.
Атаки LockBit и Conti в секторе АСУ ТП
Из групп вымогателей, атакующих промышленную инфраструктуру, наиболее активны LockBit и Conti, на их долю приходится 51% инцидентов.
По словам Dragos, две группы вымогателей несут ответственность за 166 атак на компании в секторе АСУ ТП, LockBit — за 103 инцидента, а Conti — за 63.
Угрозы программ-вымогателей не снижаются, несмотря на то, что правительства уделяют приоритетное внимание усилиям правоохранительных органов по привлечению к ответственности операторов программ-вымогателей как услуги (RaaS) и их аффилированных лиц.
Dragos полностью уверен, что эта угроза будет продолжать нарушать промышленные операции и среды OT в 2022 году из-за одного из следующих трех факторов:
Актеры интегрируют процессы уничтожения OT в полезную нагрузку программ-вымогателей
Операторы отключают среды OT, чтобы предотвратить распространение программ-вымогателей в системы OT из ИТ-сети.
Принятие упрощенной плоской структуры сети для снижения затрат и усилий по обслуживанию за счет уменьшения количества маршрутизаторов и коммутаторов, что приводит к менее безопасной среде из-за отсутствия сегментации.
https://www.bleepingcomputer.com/news/security/lockbit-conti-most-active-ransomware-targeting-industrial-sector/
Программа-вымогатель DeadBolt теперь нацелена на устройства ASUSTOR NAS, шифруя файлы и требуя выкуп в размере 1150 долларов США в биткойнах.
Об этой волне атак впервые сообщили на форумах Reddit и BleepingComputer, а вскоре и на форумах ASUSTOR.
При шифровании файлов на устройстве ASUSTOR программа-вымогатель переименовывает файлы, добавляя к ним расширение .deadbolt. Экран входа в систему ASUSTOR также будет заменен запиской о выкупе с требованием 0,03 биткойна на сумму около 1150 долларов США, как показано ниже.
Хотя ASUSTOR не объяснил, как шифруются устройства NAS, некоторые владельцы ASUSTOR считают, что это уязвимость в медиасервере PLEX или EZ Connect, которая позволяет получить доступ к их устройствам.
ASUSTOR заявляет, что они расследуют атаки, и предоставили следующее заявление:
В ответ на атаки программы-вымогателя Deadbolt, затрагивающие устройства ASUSTOR, служба DDNS myasustor.com будет отключена на время расследования проблемы. ASUSTOR будет публиковать больше информации о новых разработках, поскольку мы расследуем и анализируем причины, чтобы гарантировать, что это не повторится. Мы по-прежнему стремимся помогать пострадавшим клиентам всеми возможными способами. Для вашей защиты мы рекомендуем следующие меры:
Измените порты по умолчанию, включая порты веб-доступа NAS по умолчанию 8000 и 8001, а также порты удаленного веб-доступа 80 и 443.
Отключите EZ Connect.
Закройте порты Plex и отключите Plex.
Сделайте немедленную резервную копию.
Отключите службы Terminal/SSH и SFTP.
Самое главное, не подключайте ваше устройство ASUSTOR к Интернету, чтобы оно не было зашифровано DeadBolt.
Если DeadBolt уже заразил ваше устройство, отсоедините кабель Ethernet и принудительно выключите устройство NAS, удерживая кнопку питания в течение трех секунд.
Не пытайтесь перезагрузить NAS, так как это приведет к удалению всех файлов. Вместо этого используйте эту контактную форму, чтобы запросить инструкции у технических специалистов ASUSTOR о том, как восстановить ваши файлы.
Неясно, все ли устройства ASUSTOR уязвимы для атак DeadBolt, но отчеты показывают, что модели AS6602T, AS-6210T-4K, AS5304T, AS6102T и AS5304T не подвержены атакам.
К сожалению, нет возможности бесплатно восстановить файлы, зашифрованные программой-вымогателем DeadBolt, и многие пострадавшие пользователи QNAP были вынуждены платить выкуп за восстановление файлов.
Прошивка для восстановления будет выпущена сегодня
Сегодня ASUSTOR планирует выпустить прошивку для восстановления, чтобы пользователи снова могли использовать свои устройства NAS. Однако это обновление микропрограммы не поможет восстановить зашифрованные файлы.
Настоятельно рекомендуется, чтобы пользователи сделали резервную копию файлов index.cgi и ALL YOUR FILES HAVE BEEN LOCKED BY DEADBOLT.html перед запуском программного обеспечения для восстановления.
Эти файлы содержат информацию, необходимую для выплаты выкупа и получения ключа дешифрования, который владельцы затем могут использовать с дешифратором Emsisoft для DeadBolt.
Если выплачен выкуп, злоумышленники создадут биткойн-транзакцию на тот же биткойн-адрес, на который был выплачен выкуп, который содержит ключ дешифрования для жертвы. Ключ дешифрования находится под выводом OP_RETURN, как показано ниже.
Для тех, кому нужна помощь в процессе расшифровки или кто хочет узнать о распространенных проблемах, с которыми столкнулись устройства QNAP в прошлом месяце, вы можете ознакомиться с нашей темой поддержки программ-вымогателей DeadBolt.
Требование 50 биткойнов за мастер-ключ
Подобно атакам на устройства QNAP, DeadBolt пытается продать ASUSTOR информацию о предполагаемой уязвимости нулевого дня, используемой для взлома устройств NAS, и основного дешифрования для всех жертв.
В примечании о выкупе DeadBolt есть ссылка под названием «важное сообщение для ASUSTOR», при нажатии на которую отобразится сообщение от DeadBolt специально для ASUSTOR.
На этом экране злоумышленники DeadBolt продают информацию о предполагаемой уязвимости нулевого дня, если ASUSTOR заплатит им 7,5 биткойнов на сумму 290 000 долларов.
DeadBolt также пытается продать ASUSTOR главный ключ дешифрования для всех жертв и детали нулевого дня за 50 биткойнов на сумму 1,9 миллиона долларов.
«Выполните платеж в биткойнах в размере 50 BTC на счет bc1qgeghfv5wll35l5ttangzpjgz82y7lgwcp8se4a», — написали злоумышленники в сообщении QNAP.
«Вы получите универсальный главный ключ дешифрования (и инструкции), который можно использовать для разблокировки файлов всех ваших клиентов. Кроме того, мы также отправим вам все подробности об уязвимости нулевого дня на адрес [email protected]».
В операции вымогателя говорится, что нет другого способа связаться с ними, кроме как произвести платеж в биткойнах. Однако после оплаты они сообщают, что отправят информацию на адрес электронной почты [email protected].
Основываясь на анализе программ-вымогателей, проведенном BleepingComputer в прошлом месяце, DeadBolt — это вредоносное ПО для Linux, которое использует шаблон для примечания о выкупе, который можно заменить на любого поставщика, как показано ниже:
Это не личная атака. Вы стали мишенью из-за недостаточной безопасности, обеспечиваемой вашим поставщиком ({VENDOR_NAME}).
Поэтому в будущем мы, вероятно, увидим атаки на других производителей NAS.
https://www.bleepingcomputer.com/news/security/deadbolt-ransomware-now-targets-asustor-devices-asks-50-btc-for-master-key/
Программа-вымогатель Hive преобразовала свой шифровальщик VMware ESXi Linux в язык программирования Rust и добавила новые функции, чтобы специалистам по безопасности было труднее отслеживать переговоры жертвы о выкупе.
Поскольку предприятия все больше зависят от виртуальных машин для экономии компьютерных ресурсов, консолидации серверов и упрощения резервного копирования, злоумышленники создают специальные шифраторы, ориентированные на эти службы.
Шифровальщики Linux обычно нацелены на платформы виртуализации VMware ESXI, поскольку они наиболее часто используются на предприятии.
Хотя Hive уже некоторое время использует шифровальщик Linux для атак на серверы VMware ESXi, недавний образец показывает, что они обновили свой шифровальщик с помощью функций, впервые представленных операцией вымогателя BlackCat/ALPHV.
Hive заимствует функции у BlackCat
Когда программы-вымогатели атакуют жертву, они пытаются вести переговоры в частном порядке, сообщая жертвам, что если выкуп не будет выплачен, их данные будут опубликованы, и они пострадают от репутации.
Однако, когда образцы программ-вымогателей загружаются в общедоступные службы анализа вредоносных программ, они обычно обнаруживаются исследователями безопасности, которые могут извлечь записку о выкупе и следить за ходом переговоров.
Во многих случаях эти переговоры затем публикуются в Твиттере и других местах, что приводит к провалу переговоров.
BlackCat удалил URL-адреса согласования Tor из своего шифровальщика, чтобы этого не произошло. Вместо этого требовалось, чтобы URL-адрес передавался в качестве аргумента командной строки при запуске шифровальщика.
Эта функция не позволяет исследователям, обнаружившим образец, получить URL-адрес, поскольку он не включен в исполняемый файл и передается в исполняемый файл только во время выполнения.
Хотя Hive Ransomware уже требует имя пользователя и пароль для доступа к странице переговоров Tor жертвы, эти учетные данные ранее хранились в исполняемом файле шифровальщика, что облегчало их получение.
В новом шифровальщике Hive Linux, обнаруженном исследователем безопасности Group-IB, операция Hive теперь требует от злоумышленника указать имя пользователя и пароль для входа в качестве аргумента командной строки при запуске вредоносного ПО.
Копируя тактику BlackCat, программа-вымогатель Hive сделала невозможным получение учетных данных для входа в систему из образцов вредоносного ПО для Linux, поскольку учетные данные теперь доступны только в заметках о выкупе, созданных во время атаки.
Неизвестно, используют ли шифровщики Hive Windows этот новый аргумент командной строки в настоящее время, но если нет, мы, вероятно, вскоре увидим его добавление.
Hive продолжает копировать BlackCat, портируя свой Linux-шифровальщик с Golang на язык программирования Rust, чтобы сделать образцы программ-вымогателей более эффективными и трудными для обратного проектирования.
«Rust позволяет получить более безопасный, быстрый и эффективный код, а оптимизация кода усложняет анализ программы на Rust»
Поскольку шифрование виртуальных машин VMware ESXi является важной частью успешной атаки, программы-вымогатели постоянно совершенствуют свой код, чтобы не только повысить эффективность, но и сохранить секретность операций и переговоров.
По мере того, как все больше компаний переходят на виртуализацию своих серверов, разработчики программ-вымогателей не только сосредотачиваются на устройствах Windows, но и создают специальные шифраторы Linux, нацеленные на ESXi.
В связи с этим всем специалистам по безопасности и сетевым администраторам необходимо уделять пристальное внимание своим серверам Linux, чтобы обнаруживать признаки атак.
https://www.bleepingcomputer.com/news/security/hive-ransomware-ports-its-linux-vmware-esxi-encryptor-to-rust/
Исследователи безопасности обнаружили, что региональное правительственное агентство США, скомпрометированное программой-вымогателем LockBit, имело злоумышленника в своей сети как минимум за пять месяцев до того, как полезная нагрузка была развернута.
Журналы, полученные со скомпрометированных машин, показали, что две группы угроз скомпрометировали их и занимались операциями разведки и удаленного доступа.
Злоумышленники попытались замести следы, удалив журналы событий, но фрагменты файлов остались, что позволило аналитикам угроз получить представление о злоумышленнике и его тактике.
По словам исследователей из компании по кибербезопасности Sophos, злоумышленник получил доступ к сети через открытые порты удаленного рабочего стола (RDP) в неправильно настроенном брандмауэре, а затем использовал Chrome для загрузки инструментов, необходимых для атаки.
В набор инструментов вошли утилиты для брутфорса, сканирования, коммерческая VPN и бесплатные инструменты, позволяющие управлять файлами и выполнять команды, такие как PsExec, FileZilla, Process Explorer и GMER.
Кроме того, хакеры использовали удаленный рабочий стол и программное обеспечение для удаленного управления, такое как ScreenConnect, а позже во время атаки AnyDesk.
Оттуда злоумышленники долго затаивались и просто пытались украсть ценные учетные данные, чтобы расширить свою компрометацию сети.
В какой-то момент они украли учетные данные администратора локального сервера, у которого также были права администратора домена, чтобы они могли создавать в других системах новые учетные записи с правами администратора.
На втором этапе атаки, начатой через пять месяцев после первоначального взлома, управление, по-видимому, взял на себя более подготовленный субъект, из-за чего Sophos предположила, что теперь за операцию отвечает субъект более высокого уровня.
«Характер активности, восстановленной из журналов и файлов истории браузера на скомпрометированном сервере, создал у нас впечатление, что злоумышленники, впервые проникшие в сеть, были не экспертами, а новичками, и что позже они могли передать контроль над своими удаленный доступ к одной или нескольким более сложным группам, которые, в конечном итоге, доставили полезную нагрузку программы-вымогателя» — Sophos
Новый этап начался с установки инструмента пост-эксплуатации Mimikatz и LaZagne для извлечения наборов учетных данных со скомпрометированного сервера.
Злоумышленники сделали свое присутствие более заметным, очистив журналы и выполнив перезагрузку системы с помощью удаленных команд, предупредив системных администраторов, которые отключили 60 серверов и сегментировали сеть.
Вторая ошибка во время ответа на этот инцидент отключила защиту конечной точки. С этого момента обе стороны вступили в открытое противоборство мер и контршагов.
«Имел место постоянный поток действий по настройке стола, поскольку злоумышленники сбрасывали учетные данные учетных записей, запускали инструменты сетевого перечисления, проверяли свои возможности RDP и создавали новые учетные записи пользователей, предположительно, чтобы дать себе варианты на случай, если они будут прерваны», — Sophos.
«В первый день шестого месяца атаки злоумышленник сделал большой ход, запустив Advanced IP Scanner и почти сразу же начав горизонтальное перемещение на несколько конфиденциальных серверов. В течение нескольких минут злоумышленник получил доступ к множеству конфиденциальных данных и закупил файлы», — сообщается в отчете Sophos.
Sophos присоединилась к усилиям по реагированию и отключила серверы, которые обеспечивали удаленный доступ злоумышленникам, но часть сети уже была зашифрована с помощью LockBit.
На нескольких машинах, несмотря на то, что файлы были переименованы с использованием суффикса LockBit, шифрование не выполнялось, поэтому их восстановление требовало обратного действия по переименованию.
https://www.bleepingcomputer.com/news/security/lockbit-ransomware-gang-lurked-in-a-us-gov-network-for-months/
OldGremlin, малоизвестный злоумышленник, который использует свои особенно продвинутые навыки для проведения тщательно подготовленных кампаний, вернулся в прошлом месяце после перерыва более чем в год.
Группа отличается от других программ-вымогателей небольшим количеством кампаний (менее пяти с начала 2021 года), нацеленных только на предприятия в России, и использованием собственных бэкдоров.
Тщательно подготовленный фишинг
Самая последняя активность OldGremlin состоит из двух фишинговых кампаний, запущенных в конце марта 2022 года. Слишком рано оценивать, сколько компаний было атаковано, но исследователи безопасности говорят, что по крайней мере одна российская компания в горнодобывающем секторе находится в списке жертв.
Злоумышленник не стал отказываться от ранее применявшейся тактики получения начального доступа и воспользовался актуальными темами новостей.
говорят, что на этот раз OldGremlin выдавал себя за старшего бухгалтера российской финансовой организации, предупредив, что недавние санкции, введенные против России, приостановят работу платежных систем Visa и Mastercard.
Новый пользовательский бэкдор
Электронное письмо указывало получателю на вредоносный документ, хранящийся в хранилище Dropbox, который загружает бэкдор под названием TinyFluff, который запускает интерпретатор Node.js и предоставляет злоумышленнику удаленный доступ к целевой системе.
TinyFluff — это новый вариант старого бэкдора TinyNode, который группа использовала в прошлых атаках.
Исследователи Group-IB обнаружили два варианта TinyFluff: более раннюю, более сложную, и более новую, упрощенную версию, которая копирует скрипт и интерпретатор Node.js из своего хранилища по адресу 192.248.176[.]138.
«Мы считаем, что первая, более сложная версия TinyFluff была сырой. Вот почему кибергруппа упростила инструмент, чтобы они могли использовать его на лету. Однако, скорее всего, они улучшат его для дальнейших атак», — команда Group-IB Threat Intelligence.
Оба варианта бэкдора в настоящее время обнаруживаются более чем 20 антивирусными ядрами на платформе сканирования Virus Total.
В отчете, предоставленном BleepingComputer, Group-IB предоставляет индикаторы компрометации и подробный технический анализ инструментов, которые OldGremlin использовал в двух фишинговых кампаниях, развернутых в прошлом месяце.
После установки бэкдора OldGremlin переходит к этапу разведки, проверяя, работает ли приложение в тестовой среде.
Команды для этого этапа атаки передаются в виде открытого текста, что позволяет исследователям исследовать их с помощью анализатора трафика.
сбор информации о зараженной системе/устройстве
получение информации о подключенных дисках
запуск оболочки cmd.exe, выполнение команды и отправка вывода на сервер управления и контроля (C2)
получение информации об установленных в системе плагинах
получение информации о файлах в определенных каталогах на системном диске
завершение работы интерпретатора Node.js
OldGremlin может провести месяцы внутри скомпрометированной сети, прежде чем приступить к заключительному этапу атаки: доставке TinyCrypt/TinyCryptor, пользовательской полезной нагрузки программы-вымогателя.
Как и в случае с атаками других программ-вымогателей, жертва получает записку с требованием выкупа, в которой содержится контакт для связи с злоумышленником для переговоров об оплате.
Group-IB сообщила, что OldGremlin зашифровала как минимум три компании с тех пор, как исследователи начали отслеживать группу в 2020 году.
Хотя это число незначительно по сравнению с атаками других банд вымогателей, исследователи отмечают, что OldGremlin проводит весь год, пожиная плоды нескольких запущенных ими кампаний.
В 2021 году группа развернула только одну фишинговую кампанию, но этого было достаточно, чтобы занять их весь год, поскольку она предоставила первоначальный доступ к сети нескольких предприятий.
Group-IB заявляет, что в этом году в результате мартовской фишинговой активности группы будет раскрыто большее число жертв OldGremlin, помимо целевой российской горнодобывающей компании.
Они охарактеризовали знания группы о русском ландшафте как «удивительные».
Ориентируясь только на российские компании (банки, промышленные предприятия, медицинские организации и разработчиков программного обеспечения), OldGremlin нарушает негласное правило не атаковать объекты на территории России.
Отчет Group-IB о последних кампаниях OldGremlin, включая технический анализ атак и индикаторы компрометации, доступен на сайте компании.
https://www.bleepingcomputer.com/news/security/oldgremlin-ransomware-gang-targets-russia-with-new-malware/
Группа хакеров использовала утечку исходного кода программы-вымогателя Conti для создания собственной программы-вымогателя для использования в кибератаках на российские организации.
Программа-вымогатель нацелена на Россию
В течение последнего месяца хакерская группа, известная как NB65, взламывала российские организации, крала их данные и сливала их в сеть.
В число российских организаций, которые, как утверждается, подверглись атаке со стороны хакерской группы, входят
Атака на ВГТРК была особенно значимой, поскольку привела к предполагаемой краже 786,2 ГБ данных, в том числе 900 000 электронных писем и 4 000 файлов, которые были опубликованы на сайте DDoS Secrets.
Совсем недавно хакеры NB65 обратились к новой тактике — с конца марта нацелены на российские организации с помощью программ-вымогателей.
Почти все антивирусные поставщики обнаруживают этот образец на VirusTotal как Conti, и Intezer Analyze также определил, что он использует 66% того же кода, что и обычные образцы программ-вымогателей Conti.
Шифратор от NB65 и при шифровании файлов добавляет расширение .NB65 к именам зашифрованных файлов.
Программа-вымогатель также будет создавать заметки о выкупе с именем R3ADM3.txt на зашифрованном устройстве.
https://www.bleepingcomputer.com/news/security/hackers-use-contis-leaked-ransomware-to-attack-russian-companies/
Оператор Hive Ransomware нацелился на серверы Microsoft Exchange, уязвимые для проблем с безопасностью ProxyShell, для развертывания различных бэкдоров, включая маяк Cobalt Strike.
Оттуда злоумышленники проводят сетевую разведку, крадут учетные данные учетной записи администратора, извлекают ценные данные, в конечном итоге развертывая полезную нагрузку для шифрования файлов.
Подробности поступили от компании по безопасности и аналитике Varonis, которая была вызвана для расследования атаки программы-вымогателя на одного из своих клиентов.
ProxyShell — это набор из трех уязвимостей в Microsoft Exchange Server, которые позволяют удаленно выполнять код без проверки подлинности в уязвимых средах. После того, как эксплойты стали доступны, уязвимости использовались несколькими злоумышленниками, включая программы-вымогатели, такие как Conti, BlackByte, Babuk, Cuba и LockFile.
Уязвимости отслеживаются как CVE-2021-34473, CVE-2021-34523 и CVE-2021-31297, а их уровень серьезности варьируется от 7,2 (высокий) до 9,8 (критический).
Уязвимости безопасности считаются полностью устраненными по состоянию на май 2021 г., но обширные технические подробности о них стали доступны только в августе 2021 г., и вскоре после этого началась злонамеренная эксплуатация [1, 2].
Тот факт, что аффилированное лицо Hive успешно использовало ProxyShell в недавней атаке, показывает, что еще есть место для атак на уязвимые серверы.
От доступа к шифрованию
После эксплуатации ProxyShell хакеры внедрили четыре веб-оболочки в доступную директорию Exchange и выполнили код PowerShell с высокими привилегиями для загрузки стейджеров Cobalt Strike.
Веб-оболочки, используемые в этой конкретной атаке, были получены из общедоступного репозитория Git и были просто переименованы, чтобы избежать обнаружения во время возможных ручных проверок.
Оттуда злоумышленники использовали Mimikatz, чтобы украсть пароль учетной записи администратора домена и выполнить горизонтальное перемещение, получив доступ к большему количеству ресурсов в сети.
Затем злоумышленники выполнили обширные операции по поиску файлов, чтобы найти наиболее ценные данные, чтобы заставить жертву заплатить более крупный выкуп.
Аналитики Varonis видели остатки удаленных сетевых сканеров, списки IP-адресов, перечисления устройств и каталогов, RDP для резервных серверов, сканирование баз данных SQL и многое другое.
Одним из заметных случаев злоупотребления программным обеспечением для сканирования сети был «SoftPerfect», легкий инструмент, который злоумышленник использовал для перечисления активных хостов, проверяя их связь и сохраняя результаты в текстовом файле.
Наконец, после того как все файлы были удалены, полезная нагрузка программы-вымогателя с именем «Windows.exe» была установлена и запущена на нескольких устройствах.
Перед шифрованием файлов организации полезная нагрузка Golang удалила теневые копии, отключила Защитник Windows, очистила журналы событий Windows, убила процессы привязки файлов и остановила диспетчер учетных записей безопасности, чтобы отключить оповещения.
Эволюция Hive
Hive прошел долгий путь с тех пор, как его впервые заметили в дикой природе в июне 2021 года, и его успешный старт побудил ФБР выпустить специальный отчет о его тактике и индикаторах компрометации.
В октябре 2021 года Hive добавила варианты Linux и FreeBSD, а в декабре стала одной из самых активных операций с вымогателями по частоте атак.
В прошлом месяце исследователи из Sentinel Labs сообщили о новом методе обфускации, скрывающем полезную нагрузку, используемом Hive, что указывает на активную разработку.
https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-to-deploy-hive-ransomware/
Утилита командной строки VMware VMwareXferlogs.exe, используемая для передачи данных в журналы VMX и из них, подвержена боковой загрузке DLL.
В ходе недавнего расследования наша команда DFIR обнаружила, что LockBit Ransomware-as-a-Service (Raas) загружает Cobalt Strike Beacon с помощью подписанной утилиты командной строки VMware xfer logs.
Злоумышленник использует PowerShell для загрузки утилиты журналов VMware xfer вместе с вредоносной DLL и файлом .log, содержащим зашифрованный загрузчик Cobalt Strike Reflective.
Вредоносная DLL обходит защиту, удаляя перехватчики пользовательской области EDR/EPP, и обходит как отслеживание событий для Windows (ETW), так и интерфейс сканирования на наличие вредоносных программ (AMSI).
Есть предположения, что функция боковой загрузки была реализована аффилированным лицом, а не самими разработчиками Lockbit (через vx-underground), вероятно, DEV-0401.
LockBit — это программа-вымогатель как услуга (RaaS), активная с 2019 года (ранее известная как «ABCD»). Он обычно использует метод двойного вымогательства, используя такие инструменты, как StealBit, WinSCP и облачные решения для резервного копирования для кражи данных перед развертыванием программы-вымогателя. Как и большинство групп вымогателей, LockBit предпочитает инструмент постэксплуатации Cobalt Strike.
В ходе недавнего расследования наша команда DFIR обнаружила интересную технику, используемую LockBit Ransomware Group или, возможно, ее аффилированным лицом, для загрузки отражающего загрузчика Cobalt Strike Beacon.
С момента нашей первоначальной публикации этого отчета мы идентифицировали связь с аффилированным лицом Microsoft, отслеживаемую как DEV-0401. Переход на LockBit представляет собой заметный отход от ранее наблюдаемых TTP DEV-0401.
Затем DLL обходит защиту, удаляя перехватчики пространства пользователя EDR/EPP, а также обходя отслеживание событий для Windows (ETW) и интерфейс сканирования на наличие вредоносных программ (AMSI). Затем файл .log был загружен в память и расшифрован с помощью RC4, в результате чего был обнаружен отражающий загрузчик Cobalt Strike Beacon. Наконец, в очередь ставится асинхронный вызов процедуры (APC) пользовательского режима, который используется для передачи потока управления расшифрованному маяку.
Цепочка атак
Цепочка атак началась с нескольких команд PowerShell, выполненных злоумышленником для загрузки трех компонентов, вредоносной DLL, подписанного исполняемого файла VMwareXferlogs и зашифрованной полезной нагрузки Cobalt Strike в виде файла .log.
Имя файла Описание
glib-2.0.dll Вредоносная DLL, загруженная VMwareXferlogs.exe
VMwareXferlogs.exe Легальная/подписанная утилита командной строки VMware
c0000015.log Зашифрованная полезная нагрузка Cobalt Strike
Вывод
Утилита командной строки VMware VMwareXferlogs.exe, используемая для передачи данных в журналы VMX и из них, подвержена боковой загрузке DLL. В ходе нашего взаимодействия мы увидели, что злоумышленник создал вредоносную версию легитимной glib-2.0.dll, в которой код содержится только в функции g_path_get_basename(), а все остальные экспорты просто вызываются ExitProcess(). Эта функция вызывает вредоносную полезную нагрузку, которая, среди прочего, пытается обойти пользовательские перехватчики EDR/EPP и задействует логику, препятствующую отладке.
LockBit продолжает оставаться успешным RaaS, и разработчики явно внедряют инновации в ответ на решения EDR/EPP. Мы надеемся, что, описав эту новейшую технику, защитники и службы безопасности смогут улучшить свои возможности по защите своих организаций.
https://www.sentinelone.com/labs/lockbit-ransomware-side-loads-cobalt-strike-beacon-with-legitimate-vmware-utility/
Печально известная операция по вымогательству REvil вернулась на фоне роста напряженности в отношениях между Россией и США с новой инфраструктурой и модифицированным шифровальщиком, позволяющим проводить более целенаправленные атаки.
В октябре (2021) REvil закрылась после того, как правоохранительные органы захватили их серверы Tor, после чего российские правоохранительные органы арестовали ее членов.
Tor-сайты REvil возвращаются к жизни
Вскоре после этого старая инфраструктура REvil Tor снова заработала, но вместо того, чтобы показывать старые веб-сайты, они перенаправляли посетителей на URL-адреса для новой операции безымянного вымогателя.
Хотя эти сайты не были похожи на предыдущие сайты REvil, тот факт, что старая инфраструктура перенаправляла пользователей на новые сайты, указывал на то, что REvil, вероятно, снова работает. Кроме того, эти новые сайты содержали смесь новых жертв и данных, украденных во время предыдущих атак REvil.
Единственный способ узнать наверняка, вернулся ли REvil, — это найти образец шифровальщика-вымогателя и проанализировать его, чтобы определить, был ли он исправлен или скомпилирован из исходного кода.
Образец шифровальщика новой операции по вымогательству был наконец обнаружен на этой неделе исследователем AVAST Якубом Кроустеком и подтвердил связи новой операции с REvil.
Хотя некоторые операции с вымогателями используют шифровальщик REvil, все они используют исправленные исполняемые файлы, а не имеют прямого доступа к исходному коду.
Однако несколько исследователей безопасности и аналитиков вредоносных программ сообщили BleepingComputer, что обнаруженный образец REvil, используемый новой операцией, скомпилирован из исходного кода и включает новые изменения.
Исследователь безопасности R3MRUM написал в Твиттере, что номер версии образца REvil был изменен на 1.0, но он является продолжением последней версии 2.08, выпущенной REvil перед закрытием.
Генеральный директор Advanced Intel Виталий Кремез провел реинжиниринг образца REvil в эти выходные и подтвердил, что он был скомпилирован из исходного кода 26 апреля и не был исправлен.
Кремез сообщил BleepingComputer, что новый образец REvil включает новое поле конфигурации «accs», которое содержит учетные данные для конкретной жертвы, на которую нацелена атака.
Кремез считает, что параметр конфигурации «accs» используется для предотвращения шифрования на других устройствах, не содержащих указанные учетные записи и домены Windows, что позволяет проводить целенаправленные атаки.
В дополнение к параметру «accs» в конфигурации нового образца REvil были изменены параметры SUB и PID, используемые в качестве идентификаторов кампании и филиала, для использования более длинных значений типа GUID, таких как «3c852cc8-b7f1-436e-ba3b-c53b7fc6c0e4».
BleepingComputer также протестировал образец программы-вымогателя, и хотя он не зашифровал, он создал примечание о выкупе, которое идентично старым примечаниям о выкупе REvil.
Кроме того, несмотря на некоторые различия между старыми сайтами REvil и переименованным сайтом, когда жертва входит на сайт, он почти идентичен оригиналу, а субъекты угрозы утверждают, что они «Sodinokibi»
https://www.bleepingcomputer.com/news/security/revil-ransomware-returns-new-malware-sample-confirms-gang-is-back/
Хакеры обычно используют уязвимости в корпоративных сетях, чтобы получить доступ, но исследователь изменил ситуацию, обнаружив эксплойты в самых распространенных программах-вымогателях и вредоносных программах, распространяемых сегодня.
Вредоносное ПО из печально известных программ-вымогателей, таких как Conti, возрожденный REvil, новичок Black Basta, очень активный LockBit или AvosLocker, — все они имели проблемы с безопасностью, которые можно было использовать, чтобы остановить последний и самый опасный этап атаки — шифрование файлов.
Доступен код эксплойта
Анализируя штаммы вредоносного ПО от этих групп вымогателей, исследователь безопасности по имени hyp3rlinx обнаружил, что образцы уязвимы для захвата DLL — метода, который обычно используется злоумышленниками для внедрения вредоносного кода в законное приложение.
Для каждого проанализированного фрагмента вредоносного ПО исследователь предоставляет отчет, в котором описывается тип обнаруженной уязвимости, хэш образца, эксплойт для подтверждения концепции (PoC) и демонстрационное видео.
Перехват DLL работает только в системах Windows и использует способ, которым приложения ищут и загружают в память нужные им файлы библиотеки динамической компоновки (DLL).
Программа с недостаточной проверкой может загрузить DLL из пути за пределами своего каталога, повысив привилегии или выполнив нежелательный код.
Для уязвимых образцов программ-вымогателей от Conti, REvil, LockBit, Black Basta, LockiLocker и AvosLocker исследователь говорит, что их эксплойт позволяет выполнять код для «контроля и прекращения предварительного шифрования вредоносного ПО».
Чтобы использовать уязвимости в вредоносном ПО от вышеперечисленных групп, исследователь создал код эксплойта, который необходимо скомпилировать в DLL с определенным именем, чтобы вредоносный код распознал его как свой и загрузил для начала шифрования данных.
Ниже представлено видео исследователя, использующего уязвимость перехвата DLL в программе-вымогателе REvil, чтобы уничтожить вредоносное ПО до начала процесса шифрования.
По словам hyp3rlinx, для защиты от этих семейств программ-вымогателей DLL можно разместить в месте, где киберпреступники могут запускать свои программы-вымогатели, например в сетевом расположении с важными данными.
После загрузки DLL эксплойта процесс вымогателя должен завершиться до начала операции шифрования данных.
Исследователь отмечает, что хотя вредоносные программы могут блокировать решения безопасности на скомпрометированной машине, они ничего не могут сделать с DLL, поскольку они представляют собой просто файлы, хранящиеся на диске хоста и неактивные до загрузки.
Неясно, какие версии программы-вымогателя Hyperlinx оказались уязвимыми для захвата DLL.
Если образцы новые, вполне вероятно, что эксплойт будет работать только в течение короткого времени, потому что банды вымогателей быстро исправляют ошибки, особенно когда они попадают в общедоступное пространство.
Даже если эти выводы окажутся жизнеспособными еще какое-то время, компании, на которые нацелены банды вымогателей, по-прежнему рискуют украсть и просочиться важные файлы, поскольку эксфильтрация, чтобы заставить жертву заплатить выкуп, является частью образа действий этого злоумышленника.
Однако эксплойты Hyperlinx могут оказаться полезными, по крайней мере, для предотвращения сбоев в работе, которые могут нанести значительный ущерб.
Более уязвимые вредоносные программы
hyp3rlinx отслеживает свою работу в рамках проекта Malvuln, который направлен на поиск уязвимостей в различных вредоносных программах, от троянов и бэкдоров до программ-шпионов и программ для кражи информации.
Последний отчет исследователя об уязвимостях в вредоносных программах относится к RedLine, похитителю информации, который стал широко популярен на хакерских форумах.
Он собирает конфиденциальную информацию, такую как входы в систему из веб-браузеров, платформ обмена сообщениями (Telegram, Discord), FTP-клиентов, Steam, а также нацелен на криптовалютные кошельки.
Вот отчеты об уязвимостях для проанализированных образцов программ-вымогателей: Conti, REvil, LockBit, Black Basta, LockiLocker и AvosLocker.
https://www.bleepingcomputer.com/news/security/conti-revil-lockbit-ransomware-bugs-exploited-to-block-encryption/
Программа-вымогатель Thanos является первой, использующей раскрытую исследователями технологию уклонения от программ-вымогателей RIPlace, а также множество других расширенных функций, которые делают ее серьезной угрозой, за которой нужно следить.
Thanos впервые начал частное распространение в конце октября 2019 года
Спустя некоторое время программа стала идентифицироваться как Hakbit.
Далее,
Thanos привлекает хакеров и распространителей вредоносных программ для распространения программ-вымогателей. За это они будут получать долю дохода, которая обычно составляет около 60-70% от любых выплат выкупа.
Партнеры, которые присоединяются к Thanos RaaS, получают доступ к «Private Ransomware Builder», который используется для создания пользовательских исполняемых файлов программ-вымогателей.
В то время как большинство программ-вымогателей, написанных на C#, не отличаются высоким уровнем сложности, у Thanos есть множество расширенных функций, которые выделяют его среди остальных.
Builder позволяет использовать широкий спектр функций, включая встроенный похититель незашифрованных файлов, автоматическое распространение на другие устройства и использование раскрытой исследователями техники уклонения от RIPlace.
https://www.bleepingcomputer.com/news/security/thanos-ransomware-auto-spreads-to-windows-devices-evades-security/
https://www.bleepingcomputer.com/news/security/us-links-thanos-and-jigsaw-ransomware-to-55-year-old-doctor/
Conti официально прекратила свою деятельность, инфраструктура была отключена, а руководители групп заявили, что бренда больше нет.
Хотя может показаться странным, что Conti закрылась в разгар своей информационной войны с Коста-Рикой, Утвержается, что Conti провела эту публичную атаку, чтобы создать видимость реальной операции, в то время как члены Conti медленно мигрировали на другие, более мелкие группы.
https://www.bleepingcomputer.com/news/security/conti-ransomware-shuts-down-operation-rebrands-into-smaller-units/
Тайваньский производитель сетевых хранилищ (NAS) QNAP в четверг предупредил клиентов о необходимости защитить свои устройства от атак, использующих полезную нагрузку программ-вымогателей DeadBolt.
Компания попросила пользователей обновить свои устройства NAS до последней версии программного обеспечения и убедиться, что они не подвергаются удаленному доступу через Интернет.
«Согласно расследованию группы реагирования на инциденты, связанные с безопасностью продуктов QNAP (QNAP PSIRT), атака была направлена на устройства NAS, использующие QTS 4.3.6 и QTS 4.4.1, и затронутые модели были в основном сериями TS-x51 и TS-x53, — сказал производитель NAS.
«QNAP призывает всех пользователей NAS как можно скорее проверить и обновить QTS до последней версии, а также избегать доступа к своему NAS из Интернета».
Это предупреждение появилось после опубликованного в январе другого сообщения о программах-вымогателях, нацеленных на NAS-устройства, открытые для доступа в Интернет.
Компания QNAP рекомендовала клиентам с общедоступными устройствами предпринять следующие действия, чтобы заблокировать потенциальные атаки:
Отключите функцию переадресации портов маршрутизатора: перейдите в интерфейс управления маршрутизатора, проверьте настройки виртуального сервера, NAT или переадресации портов и отключите параметр переадресации порта службы управления NAS (порт 8080 и 433 по умолчанию).
Отключите функцию UPnP QNAP NAS: перейдите в myQNAPcloud в меню QTS, нажмите «Автоматическая настройка маршрутизатора» и снимите флажок «Включить переадресацию портов UPnP».
Производитель NAS также предоставляет подробные инструкции по отключению подключений SSH и Telnet, изменению номера системного порта, изменению паролей устройств и включению защиты доступа по IP и учетным записям.
В апреле QNAP также призвала пользователей NAS отключить переадресацию портов Universal Plug and Play (UPnP) на своих маршрутизаторах, чтобы предотвратить их уязвимость для атак из Интернета.
Тем, кому необходим доступ к устройствам NAS без прямого доступа к Интернету, рекомендуется включить функцию VPN на своем маршрутизаторе (если она доступна), использовать службу myQNAPcloud Link и сервер VPN на устройствах QNAP, предоставляемый приложением QVPN Service, или QuWAN SD. -WAN-решение.
Поскольку устройства QNAP также являются мишенью для других семейств программ-вымогателей, таких как Qlocker и eCh0raix, всем владельцам следует немедленно принять вышеуказанные меры для защиты своих данных от будущих атак.
Программа-вымогатель DeadBolt
Вымогатель DeadBolt, впервые замеченный в атаках на устройства QNAP NAS в конце января, захватывает страницу входа в систему устройства QNAP, чтобы отобразить экран с надписью «ВНИМАНИЕ: ваши файлы были заблокированы DeadBolt».
После развертывания на устройстве NAS этот вымогатель использует AES128 для шифрования файлов, добавляя к их именам расширение .deadbolt.
DeadBolt также заменяет файл /home/httpd/index.html, чтобы жертвы видели экран с требованием выкупа при доступе к скомпрометированному устройству.
После выплаты выкупа злоумышленники создают биткойн-транзакцию на тот же адрес биткойн-выкупа, содержащий ключ дешифрования для жертвы (ключ дешифрования можно найти в выводе OP_RETURN).
Эксперт по программам-вымогателям Майкл Гиллеспи создал бесплатный дешифратор для Windows, который помогает расшифровывать файлы без использования исполняемого файла программы-вымогателя.
Однако владельцы QNAP, пострадавшие от программы-вымогателя DeadBolt, должны будут заплатить выкуп, чтобы получить действительный ключ дешифрования.
Программа-вымогатель DeadBolt вернулась в феврале в рамках другой кампании, нацеленной на устройства ASUSTOR NAS и предположительно использующей уязвимость нулевого дня.
https://www.bleepingcomputer.com/news/security/qnap-alerts-nas-customers-of-new-deadbolt-ransomware-attacks/
По словам исследователей NCC Group, после фактического прекращения всей их деятельности на несколько месяцев, с ноября по февраль, программа-вымогатель Clop снова вернулась.
«CL0P резко и неожиданно вернулся на передний план ландшафта угроз программ-вымогателей, поднявшись с наименее активного субъекта угроз в марте на четвертое место по активности в апреле», — говорится в сообщении NCC Group.
Этот всплеск активности был замечен после того, как группа вымогателей добавила 21 новую жертву на свой сайт утечки данных в течение одного месяца, в апреле.
«В апреле были заметные колебания в нацеливании злоумышленников. В то время как Lockbit 2.0 (103 жертвы) и Conti (45 жертв) остаются самыми многочисленными злоумышленниками, количество жертв CL0P значительно увеличилось, с 1 до 21», — добавила NCC Group.
Наиболее целевым сектором Clop был промышленный сектор: 45% атак программ-вымогателей Clop поражали промышленные организации, а 27% — технологические компании.
Из-за этого глобальный руководитель стратегического анализа угроз NCC Group Мэтт Халл предупредил организации в наиболее целевых секторах группы вымогателей, чтобы они рассмотрели возможность стать следующей целью этой группы и подготовились соответствующим образом.
Однако, несмотря на утечку данных почти от двух десятков жертв, группа вымогателей не выглядит очень активной, судя по количеству представлений в службе ID Ransomware.
Кто такой Clop?
Затишье в деятельности Clop легко объясняется тем, что часть ее инфраструктуры была отключена в июне 2021 года после международной операции правоохранительных органов под кодовым названием Operation Cyclone, координируемой Интерполом.
Список компаний, чьи серверы Accellion FTA были взломаны группой Clop, включает, среди прочего, энергетического гиганта Shell, фирму по кибербезопасности Qualys, гиганта супермаркетов Kroger и несколько университетов по всему миру (Университет Колорадо, Университет Майами, Стэнфордский медицинский университет, Университет Мэриленда). Балтимор (UMB) и Калифорнийский университет.)
https://www.bleepingcomputer.com/news/security/clop-ransomware-gang-is-back-hits-21-victims-in-a-single-month/
Исследователи, анализирующие просочившиеся чаты печально известной операции по вымогательству Conti, обнаружили, что злоумышленники активно разрабатывали взломы прошивок.
Согласно сообщениям, которыми обменивались злоумышленники, разработчики Conti создали код проверки концепции (PoC), который использовал Intel Management Engine (ME) для перезаписи флэш-памяти и запуска SMM (режим управления системой).
ME — это встроенный микроконтроллер в наборы микросхем Intel, работающий под управлением микро-ОС для предоставления внеполосных услуг. Conti занималась фаззингом этого компонента, чтобы найти недокументированные функции и команды, которые они могли бы использовать.
Оттуда Conti могла получить доступ к флэш-памяти, в которой размещалась прошивка UEFI/BIOS, обойти защиту от записи и выполнить произвольный код в скомпрометированной системе.
Конечной целью будет установка SMM-имплантата, который будет работать с максимально возможными системными привилегиями (кольцо-0), но при этом практически не будет обнаруживаться инструментами безопасности на уровне ОС.
Важно отметить, что в отличие от модуля TrickBot, нацеленного на недостатки прошивки UEFI, помогающего заражению Conti и позже предпринятого группой вымогателей, новые результаты указывают на то, что злоумышленники стремились обнаружить новые, неизвестные уязвимости в ME.
Атаки на прошивку в программах-вымогателях
Чтобы атака на микропрограмму стала возможной, злоумышленникам-вымогателям сначала необходимо получить доступ к системе по обычному пути, такому как фишинг, использование уязвимости или выполнение атаки на цепочку поставок.
После компрометации ME злоумышленники должны будут следовать плану атаки, основанному на том, к каким областям «защиты от записи» им разрешен доступ, в зависимости от реализации ME и различных ограничений/защит.
Eclypsium говорит, что это может быть либо доступ для перезаписи дескриптора SPI и перемещения UEFI/BIOS за пределы защищенной области, либо прямой доступ к области BIOS.
Существует также сценарий, когда ME не имеет доступа ни к одному из них, и в этом случае субъекты угрозы могут использовать Intel Management Engine для принудительной загрузки с виртуального носителя и разблокировать защиту PCH, которая лежит в основе контроллера SPI.
Conti может использовать этот поток атак, чтобы постоянно блокировать системы, добиваться максимальной стойкости, уклоняться от обнаружения антивирусами и EDR и обходить все элементы управления безопасностью на уровне ОС.
Conti ушел, но код еще жив.
Хотя операция Conti, по-видимому, была закрыта, многие ее участники перешли к другим операциям по вымогательству, где они продолжают проводить атаки.
Это также означает, что вся работа, проделанная для разработки эксплойтов, подобных той, что Eclypsium заметила в просочившихся чатах, продолжит существовать.
Как объясняют исследователи, у Conti был рабочий PoC для этих атак с лета прошлого года, поэтому вполне вероятно, что у них уже была возможность использовать его в реальных атаках.
RaaS может вернуться в измененной форме, основные члены могут присоединиться к другим операциям с вымогателями, и в целом эксплойты будут продолжать использоваться.
Для защиты от угроз применяйте доступные обновления прошивки для вашего оборудования, следите за изменениями конфигурации ME и регулярно проверяйте целостность флэш-памяти SPI.
https://www.bleepingcomputer.com/news/security/conti-ransomware-targeted-intel-firmware-for-stealthy-attacks/