Ransomware group теперь взламывает корпоративные веб-сайты, чтобы показать заметки о выкупе.
Кибергруппы поднимает вымогательство на новый уровень, публично взламывая корпоративные веб-сайты, чтобы публично демонстрировать заметки о выкупе.
Эта новая стратегия вымогательства осуществляется Industrial Spy, которая недавно начала использовать программы-вымогатели как часть своих атак.
В рамках своих атак Industrial Spy будет взламывать сети, красть данные и развертывать программы-вымогатели на устройствах. Затем злоумышленники угрожают продать украденные данные на своей торговой площадке Tor, если выкуп не будет выплачен.
Дефейс веб-сайтов как часть вымогательства данных
Сегодня Industrial Spy начала продавать данные, которые, как они утверждают, были украдены у французской компании SATT Sud-Est, за 500 000 долларов.
Как впервые заметил исследователь безопасности MalwareHunterTeam, эта атака выделяется тем, что злоумышленники также взломали веб-сайт компании, чтобы отобразить сообщение, предупреждающее о том, что 200 ГБ были украдены и скоро будут выставлены на продажу, если жертва не заплатит выкуп.
Linux-версия программы-вымогателя Black Basta нацелена на серверы VMware ESXi
Black Basta — это последняя группа программ-вымогателей, которая добавила поддержку шифрования виртуальных машин (ВМ) VMware ESXi, работающих на корпоративных серверах Linux.
Большинство групп вымогателей в настоящее время сосредотачивают свои атаки на виртуальных машинах ESXi, поскольку эта тактика согласуется с их корпоративной направленностью. Это также позволяет использовать более быстрое шифрование нескольких серверов с помощью одной команды.
Шифрование виртуальных машин имеет смысл, так как многие компании недавно перешли на виртуальные машины, поскольку они упрощают управление устройствами и намного более эффективно используют ресурсы.
Еще одна кибергруппа нацелена на серверы ESXi
В новом отчете аналитики Uptycs Threat Research сообщили, что они обнаружили новые двоичные файлы программы-вымогателя Black Basta, специально предназначенные для серверов VMWare ESXi.
Шифровальщики программ-вымогателей для Linux не являются чем-то новым, и ранее уже известно об аналогичных шифраторах, выпущенных несколькими группами, включая
LockBit, HelloKitty, BlackMatter, REvil, AvosLocker, RansomEXX и Hive.
Как и другие шифровальщики Linux, двоичный файл программы-вымогателя Black Basta будет искать /vmfs/volumes, где хранятся виртуальные машины на скомпрометированных серверах ESXi (если такие папки не найдены, программа-вымогатель завершает работу).
BleepingComputer не смог найти аргументы командной строки для выбора других путей для шифрования, предполагая, что этот шифратор специально разработан для работы только с серверами ESXi.
Программа-вымогатель использует алгоритм ChaCha20 для шифрования файлов. Он также использует преимущества многопоточности для использования нескольких процессоров и ускорения процесса шифрования.
При шифровании программа-вымогатель добавит расширение .basta к именам зашифрованных файлов и создаст заметки о выкупе с именем readme.txt в каждой папке.
«Впервые Black Basta был замечен в этом году в апреле месяце, когда его варианты были нацелены на системы Windows», — сообщили Siddharth Sharma и Nischay Hegde из Uptcys.
«Основываясь на ссылке поддержки в чате и расширении зашифрованного файла, мы считаем, что за этой кампанией стоят те же участники, которые ранее атаковали системы Windows с помощью программы-вымогателя Black Basta».
Активен с апреля
Программа-вымогатель Black Basta была впервые обнаружена в дикой природе во вторую неделю апреля, когда операция быстро увеличила количество атак, нацеленных на компании по всему миру.
Несмотря на то, что требования банды о выкупе, вероятно, различаются между жертвами, известно, по крайней мере, об одном, кто получил требование на сумму более 2 миллионов долларов за дешифратор и предотвращение утечки его данных в Интернет.
Хотя о новой группе мало что известно, скорее всего, это не новая операция, а скорее ребрендинг из-за их продемонстрированной способности быстро взломать новых жертв и стиля ведения переговоров (возможно, ребрендинг операции вымогателей Conti).
Технический директор Emsisoft Fabian Wosar ранее сообщил, что другие кибергруппы (помимо тех, о которых мы сообщали), включая
Babuk, RansomExx/Defray, Mespinoza, GoGoogle, Snatch, PureLocker и DarkSide
, также разработали и использовали свои собственные шифраторы для Linux.
«Причина, по которой большинство групп вымогателей внедрили версии своих программ-вымогателей на базе Linux, заключается в том, что они нацелены именно на ESXi», — пояснил Wosar.
Ransomware создает сайт для поиска украденных данных сотрудниками.
ALPHV, также известная как BlackCat, вывела вымогательство на новый уровень, создав специальный веб-сайт, который позволяет клиентам и сотрудникам их жертв проверить, не были ли их данные украдены в результате атаки.
Когда группы вымогателей проводят атаки, они незаметно крадут корпоративные данные. Собрав все ценное, злоумышленник начинает шифровать устройства.
Затем украденные данные используются в схемах двойного вымогательства, когда хакеры требуют выкуп за доставку дешифратора и предотвращение публичного раскрытия корпоративных данных.
Чтобы заставить жертв заплатить, кибергруппы создают сайты утечки данных, где они медленно раскрывают части украденных данных или отправляют клиентам и сотрудникам электронные письма с предупреждением о том, что их информация была украдена.
Однако эти методы вымогательства не всегда работают, и компании просто решают не платить, даже если их корпоративные данные, данные сотрудников и клиентов находятся под угрозой утечки.
По этой причине кибергруппы постоянно совершенствуют свою тактику, чтобы оказывать дополнительное давление на жертв.
Вымогательство на новый уровень
Сегодня AlphV/BlackCat начала публиковать предположительно украденные данные, которые, как они утверждают, были украдены из отеля и спа-салона в Орегоне.
В рамках этой атаки AlphV утверждает, что украла 112 ГБ данных, включая информацию о сотрудниках, такую как номера социального страхования, для 1500 сотрудников.
Однако вместо того, чтобы просто слить данные на своем обычном сайте утечки данных Tor, AlphV пошла еще дальше и создала специальный веб-сайт, позволяющий сотрудникам и клиентам проверять, не были ли их данные украдены во время атаки на отель.
Используя этот сайт, сотрудники, клиенты или кто-либо в этом отношении может просматривать информацию о постояльцах отеля и их пребывании или личные данные 1534 сотрудников.
В то время как данные о гостях клиентов содержат только имена, дату прибытия и стоимость проживания, данные сотрудников включают чрезвычайно конфиденциальную информацию, такую как имена, номера социального страхования, дату рождения, номера телефонов и адреса электронной почты.
Злоумышленники даже дошли до того, что создали «пакеты данных» для каждого сотрудника, содержащие файлы, связанные с работой этого человека в отеле.
Поскольку этот сайт размещен в открытой сети, то есть в общедоступном Интернете, он индексируется поисковыми системами, и раскрытая информация, вероятно, будет добавлена в результаты поиска, что может еще больше усугубить ситуацию для жертв.
Инновация или пустая трата времени?
Цель этого сайта ясна: напугать сотрудников и гостей, чтобы они потребовали от отеля удалить их данные из Интернета, что можно сделать только заплатив выкуп.
Аналитик по безопасности Emisosft Бретт Кэллоу, который обнаружил эту новую стратегию вымогательства и сказал, что, хотя тактика является инновационной, еще слишком рано говорить о том, окупится ли она.
«Alphv, несомненно, надеется, что эта тактика повысит вероятность того, что они будут монетизировать атаки. Если компании будут знать, что информация, касающаяся их клиентов и сотрудников, будет обнародована таким образом, они могут быть более склонны заплатить требование, чтобы предотвратить это. происходит — и чтобы избежать возможных коллективных исков», — сказал Кэллоу.
«Несмотря на то, что это инновационный подход, еще неизвестно, будет ли эта стратегия успешной — и, конечно же, это определит, станет ли она более распространенной».
AlphV считается ребрендингом банды DarkSide/BlackMatter, ответственной за атаку на Colonial Pipeline, которая привлекла внимание средств массовой информации к этим хакерским группам и привлекла все внимание международных правоохранительных органов и правительства США.
Эта кибергруппа всегда считалась одной из лучших операций по вымогательству. Тем не менее, они также известны своими ошибками и сумасшедшими идеями, которые доставляют им неприятности.
Настройка этого веб-сайта с пакетами данных отдельных сотрудников определенно отнимала много времени у злоумышленников. Нам придется подождать и посмотреть, окупятся ли усилия.
Исследователи безопасности назвали хакерскую кампанию ARMattack и назвали ее одной из «самых продуктивных» и «чрезвычайно эффективных».
Молниеносная кампания ARMattack
В отчете, предоставленном BleepingComputer, исследователи из компании Group-IB, занимающейся кибербезопасностью, говорят, что одна из «самых продуктивных кампаний» Conti была проведена в прошлом году с 17 ноября по 20 декабря 2021 года.
В ходе кампании аффилированным лицам Conti удалось скомпрометировать более 40 организаций в различных сферах деятельности, работающих в разных регионах, но с упором на компании, базирующиеся в США.
Согласно данным Group-IB, самая короткая успешная атака Conti длилась всего три дня с момента первоначального доступа до шифрования систем организации.
«Получив доступ к инфраструктуре компании, злоумышленники извлекают определенные документы (чаще всего, чтобы определить, с какой организацией они имеют дело) и ищут файлы, содержащие пароли (как открытые, так и зашифрованные). Наконец, получив все необходимые привилегии и получив доступ ко всем интересующим их устройствам, хакеры внедряют программу-вымогатель на все устройства и запускают ее», — Group-IB
В настоящее время Conti входит в тройку крупнейших групп вымогателей по частоте атак, уступив в этом году второе место после LockBit, согласно данным, собранным за первый квартал 2022 года.
Первые атаки программ-вымогателей Conti, о которых стало известно BleepingComputer, датируются концом декабря 2019 года. По данным Group-IB, первоначальные тестовые версии вредоносного ПО были отслежены до ноября 2019 года.
Несмотря на недавние утечки чата и исходного кода, Conti продолжает вести прибыльный бизнес, который почти не подает признаков краха.
Группа постоянно расширяла свою деятельность, работая с другими операторами программ-вымогателей (HelloKitty, AvosLocker, Hive, BlackCat, BlackByte, LockBit) и приобретая киберпреступные операции, такие как TrickBot.
Поддельные электронные письма о нарушении авторских прав устанавливают программу-вымогатель LockBit
Партнеры программы-вымогателя LockBit используют интересный трюк, чтобы заставить людей заражать свои устройства, маскируя свое вредоносное ПО под заявлениями об авторских правах.
Получателей этих писем предупреждают о нарушении авторских прав, предположительно об использовании медиафайлов без лицензии создателя. Эти электронные письма требуют, чтобы получатель удалил контент, нарушающий авторские права, со своих веб-сайтов, иначе он будет привлечен к судебной ответственности.
Электронные письма, обнаруженные аналитиками из AhnLab, Корея, не определяют, какие файлы были несправедливо использованы в теле письма, а вместо этого предлагают получателю загрузить и открыть вложенный файл, чтобы увидеть содержание нарушения.
Вложение представляет собой защищенный паролем ZIP-архив, содержащий сжатый файл, который, в свою очередь, имеет исполняемый файл, замаскированный под PDF-документ, но на самом деле являющийся установщиком NSIS.
Причина для этой оболочки и защиты паролем состоит в том, чтобы избежать обнаружения инструментами безопасности электронной почты.
Если жертва откроет предполагаемый «PDF», чтобы узнать, какие изображения используются незаконно, вредоносное ПО загрузит и зашифрует устройство с помощью программы-вымогателя LockBit 2.0.
Заявления о нарушении авторских прав и вредоносное ПО
Хотя использование заявлений о нарушении авторских прав интересно, оно не является чем-то новым или исключительным для членов LockBit, поскольку многие кампании по распространению вредоносных программ используют ту же приманку.
LockBit 3.0 представляет первую программу вознаграждения за ошибки программ-вымогателей
LockBit Ransomware выпустил «LockBit 3.0», в котором представлена первая программа вознаграждения за ошибки программ-вымогателей, а также раскрыты новые тактики вымогательства и способы оплаты криптовалютой Zcash.
Операция по борьбе с программами-вымогателями была запущена в 2019 году и с тех пор стала самой результативной операцией по борьбе с программами-вымогателями, на которую приходится 40% всех известных атак программ-вымогателей в мае 2022 года.
На выходных кибергруппа выпустила обновленную операцию «программа-вымогатель как услуга» (RaaS) под названием LockBit 3.0 после бета-тестирования в течение последних двух месяцев, при этом новая версия уже использовалась в атаках.
Хотя неясно, какие технические изменения были внесены в шифровальщик, заметки о выкупе больше не называются «Restore-My-Files.txt», а вместо этого перешли в формат именования [id].README.txt, как показано ниже.
Программа поощрения ошибок LockBit 3.0
С выпуском LockBit 3.0 операция представила первую программу вознаграждения за обнаружение ошибок, предлагаемую кибергруппой, которая просит исследователей безопасности отправлять отчеты об ошибках в обмен на вознаграждение в размере от 1000 до 1 миллиона долларов.
«Мы приглашаем всех исследователей безопасности, этичных и неэтичных хакеров на планете принять участие в нашей программе вознаграждения за обнаружение ошибок. Сумма вознаграждения варьируется от 1000 до 1 миллиона долларов», — говорится на странице вознаграждения за обнаружение ошибок LockBit 3.0.
Тем не менее, эта программа вознаграждения за обнаружение ошибок немного отличается от тех, которые обычно используются законными компаниями, поскольку во многих странах помощь преступному предприятию является незаконной.
Кроме того, LockBit не только предлагает вознаграждение за уязвимости, но также выплачивает вознаграждение за «блестящие идеи» по улучшению работы программ-вымогателей и за доксинг менеджера партнерской программы.
Ниже приведены различные категории наград за ошибки, предлагаемые операцией LockBit 3.0:
Ошибки веб-сайта: XSS-уязвимости, инъекции mysql, получение оболочки на сайт и многое другое, будет оплачиваться в зависимости от серьезности ошибки, основное направление - получить дешифратор через веб-сайт ошибок, а также доступ к истории переписки с зашифрованными компаниями.
Ошибки локера: Любые ошибки при шифровании локерами, приводящие к повреждению файлов или к возможности расшифровки файлов без получения дешифратора.
Блестящие идеи: Мы платим за идеи, пожалуйста, напишите нам, как улучшить наш сайт и наше программное обеспечение, лучшие идеи будут оплачены. Что такого интересного в наших конкурентах, чего нет у нас?
Доксинг: Мы платим ровно миллион долларов, не больше и не меньше, за доксирование босса партнерской программы. Являетесь ли вы агентом ФБР или очень умным хакером, который знает, как найти кого угодно, вы можете написать нам в мессенджер TOX, сообщить нам имя своего босса и получить за это 1 миллион долларов в биткойнах или монеро.
Мессенджер TOX: Уязвимости мессенджера TOX, позволяющие перехватывать переписку, запускать вредоносные программы, определять IP-адрес собеседника и другие интересные уязвимости.
Сеть Tor: Любые уязвимости, помогающие получить IP-адрес сервера, на котором установлен сайт на домене onion, а также получить root-доступ к нашим серверам с последующим дампом базы данных и доменами onion.
Вознаграждение в размере 1 000 000 долларов США за идентификацию менеджера филиала, известного как LockBitSupp, ранее предлагалось на хакерском форуме XSS в апреле.
Предстоящий способ оплаты ZCash?
При открытии сайтов Tor для переговоров LockBit 3.0 и сайтов утечки данных посетителям предоставляется анимированный логотип с вращающимися вокруг него различными значками криптовалюты.
Значки криптовалюты, показанные на этой анимации, — это Monero и Bitcoin, которые в прошлом принимались в качестве выкупа, но также включает монету конфиденциальности, известную как Zcash.
Добавление Zcash в качестве способа оплаты неудивительно для программы-вымогателя.
Компании по отслеживанию криптовалюты и аресты правоохранительных органов неоднократно показывали, что Биткойн можно отследить, и, хотя Monero является монетой конфиденциальности, подавляющее большинство криптобирж США не предлагает ее для продажи.
Zcash также является монетой конфиденциальности, что затрудняет отслеживание. Тем не менее, в настоящее время он выставлен на продажу на самой популярной в США криптовалютной бирже Coinbase, что облегчает жертвам покупку для получения выкупа.
Однако, если операции с программами-вымогателями перейдут на прием платежей в этой монете, мы, вероятно, увидим, что она будет удалена с бирж США из-за давления со стороны правительства США.
LockBit продает украденные данные жертвы?
Валерий Мархив из LeMagIT обнаружил, что операция LockBit 3.0 использует новую модель вымогательства, позволяющую злоумышленникам покупать данные, украденные во время атак.
Один из файлов JavaScript, используемых новым сайтом утечки данных LockBit 3.0, показывает новое модальное диалоговое окно HTML, которое позволяет людям приобретать данные, украденные на сайте.
Как вы можете видеть ниже, модальные окна предложат возможность купить данные и скачать их либо через торрент, либо прямо на сайте. Доступные параметры могут быть определены в зависимости от размера украденных данных, при этом торренты используются для больших дампов данных и прямой загрузки для меньших объемов.
Поскольку на сайте утечки данных LockBit 3.0 в настоящее время нет жертв, неясно, как будет работать эта новая тактика вымогательства и будет ли она вообще включена.
LockBit — одна из самых активных операций с программами-вымогателями, а ее общедоступный оператор активно взаимодействует с другими субъектами угроз и сообществом кибербезопасности.
Из-за постоянного внедрения новых тактик, технологий и способов оплаты специалистам по безопасности и сетям жизненно важно быть в курсе развития операций.
Новая программа-вымогатель RedAlert нацелена на серверы Windows и Linux VMware ESXi
Новая операция программы-вымогателя под названием RedAlert или N13V шифрует серверы Windows и Linux VMWare ESXi при атаках на корпоративные сети.
Новая операция была обнаружена сегодня MalwareHunterTeam, которая разместила в Твиттере различные изображения сайта утечки данных банды.
Программа-вымогатель получила название RedAlert на основе строки, использованной в записке с требованием выкупа. Однако из шифровальщика Linux, полученного BleepingComputer, злоумышленники называют свою операцию «N13V», как показано ниже.
Шифровальщик Linux создан для серверов VMware ESXi с параметрами командной строки, которые позволяют злоумышленникам выключать любые работающие виртуальные машины перед шифрованием файлов.
Полный список параметров командной строки можно увидеть ниже.
-w Run command for stop all running VM`s
-p Path to encrypt (by default encrypt only files in directory, not include subdirectories)
-f File for encrypt
-r Recursive. used only with -p ( search and encryption will include subdirectories )
-t Check encryption time(only encryption, without key-gen, memory allocates ...)
-n Search without file encryption.(show ffiles and folders with some info)
-x Asymmetric cryptography performance tests. DEBUG TESTS
-h Show this message
При запуске программы-вымогателя с аргументом «-w» шифровальщик Linux выключит все работающие виртуальные машины VMware ESXi с помощью следующей команды esxcli:
esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'
При шифровании файлов программа-вымогатель использует алгоритм шифрования с открытым ключом NTRUEncrypt, который поддерживает различные «наборы параметров», обеспечивающие разные уровни безопасности.
Интересной особенностью RedAlert/N13V является параметр командной строки «-x», который выполняет «тестирование производительности асимметричного шифрования» с использованием этих различных наборов параметров NTRUEncrypt. Однако неясно, есть ли способ принудительно установить определенный параметр при шифровании и/или программа-вымогатель выберет более эффективный.
Единственная известная операция с программами-вымогателями, использующая этот алгоритм шифрования, — FiveHands.
При шифровании файлов программа-вымогатель будет нацелена только на файлы, связанные с виртуальными машинами VMware ESXi, включая файлы журналов, файлы подкачки, виртуальные диски и файлы памяти, как указано ниже.
.log
.vmdk
.vmem
.vswp
.vmsn
В образце, проанализированном BleepingComputer, программа-вымогатель шифровала эти типы файлов и добавляла расширение .crypt658 к именам зашифрованных файлов.
В каждой папке программа-вымогатель также создаст пользовательскую заметку о выкупе с именем HOW_TO_RESTORE, содержащую описание украденных данных и ссылку на уникальный сайт оплаты выкупа TOR для жертвы.
Платежный сайт Tor похож на другие сайты операций с программами-вымогателями, поскольку он отображает требование о выкупе и предоставляет возможность вести переговоры с злоумышленниками.
Однако RedAlert/N13V принимает к оплате только криптовалюту Monero, которая обычно не продается на криптобиржах США, потому что это монета конфиденциальности.
Хотя был найден только шифровальщик Linux, на платежном сайте есть скрытые элементы, показывающие, что дешифраторы Windows также существуют.
Как и почти все новые операции с программами-вымогателями, нацеленными на предприятия, RedAlert проводит атаки с двойным вымогательством, когда данные крадут, а затем программа-вымогатель развертывается для шифрования устройств.
Эта тактика предусматривает два метода вымогательства, позволяя злоумышленникам не только требовать выкуп за дешифратор, но и требовать его для предотвращения утечки украденных данных.
Когда жертва не платит выкуп, банда RedAlert публикует украденные данные на своем сайте утечки данных, который может скачать любой желающий.
В настоящее время сайт утечки данных RedAlert содержит данные только для одной организации, что указывает на то, что операция очень новая.
Хотя с новой операцией по вымогательству N13V/RedAlert не было большой активности, нам обязательно нужно будет следить за ней из-за ее расширенной функциональности и непосредственной поддержки как Linux, так и Windows.
Программы-вымогатели и хакерские группы переходят с Cobalt Strike на Brute Ratel
Хакерские группы и операции по вымогательству переходят от Cobalt Strike к более новому набору инструментов постэксплуатации Brute Ratel, чтобы избежать обнаружения EDR и антивирусными решениями.
Команды корпоративной кибербезопасности обычно состоят из сотрудников, которые пытаются взломать корпоративные сети (красная команда), и тех, кто активно защищается от них (синяя команда). Затем обе команды обмениваются заметками после мероприятий по укреплению защиты сети от кибербезопасности.
В течение многих лет одним из самых популярных инструментов в битвах с красными командами был Cobalt Strike, набор инструментов, позволяющий злоумышленникам развертывать «маяки» на скомпрометированных устройствах для удаленного наблюдения за сетью или выполнения команд.
Хотя Cobalt Strike является законным программным обеспечением, злоумышленники распространяют взломанные версии в Интернете, что делает его одним из самых популярных инструментов, используемых хакерами и программами-вымогателями для бокового распространения через взломанные корпоративные сети.
Хакеры переходят на Brute Ratel
В 2020 году Четан Наяк, бывший член красной команды в Mandiant и CrowdStrike, выпустил Brute Ratel Command and Control Center (BRc4) в качестве альтернативы Cobalt Strike для тестирования красной команды на проникновение.
Как и Cobalt Strike, Brute Ratel — это инструмент моделирования состязательной атаки, который позволяет красным командам развертывать «барсуков» (похожих на маяки в Cobalt Strike) на удаленных хостах. Эти барсуки подключаются к серверу управления и контроля злоумышленника, чтобы получать команды для выполнения или передачи результатов ранее запущенных команд.
В новом отчете Palo Alto Unit 42 исследователи заметили, что злоумышленники переходят от Cobalt Strike к использованию Brute Ratel в качестве предпочтительного набора инструментов для пост-эксплуатации.
Это изменение в тактике имеет большое значение, поскольку BRc4 предназначен для того, чтобы избежать обнаружения EDR и антивирусными решениями, и почти все программы безопасности не определяют его как вредоносное при первом обнаружении в дикой природе.
«Хотя этой возможности удалось остаться в тени и она остается менее известной, чем ее собратья Cobalt Strike, она не менее сложна», — поясняется в отчете Unit 42.
«Наоборот, этот инструмент уникально опасен, поскольку он был специально разработан, чтобы избежать обнаружения с помощью средств обнаружения и реагирования на конечных точках (EDR) и антивирусных (AV) возможностей. Вирус Тотал».
В ходе атак злоумышленники распространяют вредоносные ISO-образы, предположительно содержащие отправленное резюме (CV).
В настоящее время Brute Ratel стоит 2500 долларов США за пользователя за годовую лицензию, при этом клиенты должны предоставить рабочий адрес электронной почты и пройти проверку перед выдачей лицензии.
«Но из-за характера программного обеспечения мы продаем продукт только зарегистрированным компаниям и частным лицам с официальным рабочим адресом электронной почты / доменом после проверки бизнеса и истории работы человека», — поясняется на странице цен Brute Ratel.
Поскольку это ручной процесс проверки, возникает вопрос о том, как злоумышленники получают лицензии на программное обеспечение.
Разработчик Brute Ratel Четан Наяк сообщил BleepingComputer, что лицензия, использованная в атаках, о которых сообщила Unit 42, была слита недовольным сотрудником одного из его клиентов.
Поскольку полезные нагрузки позволяют Наяку видеть, кому они принадлежат, он смог идентифицировать и отозвать лицензию.
Однако, по словам генерального директора AdvIntel Виталия Кремеза, бывшие участники программы-вымогателя Conti также начали приобретать лицензии, создавая поддельные американские компании для прохождения системы проверки лицензий.
«Преступники, стоящие за прежними операциями Conti по вымогательству, исследовали несколько наборов для тестирования на проникновение, помимо использования Cobalt Strike», — сказал Кремез в разговоре с BleepingComputer.
«В одном конкретном случае они получили доступ к набору Brute Ratel, который использовался для пост-эксплуатации в целевых атаках из загрузчика BumbleBee. Конечной целью использования Brute Ratel была пост-эксплуатационная структура для бокового перемещения и последующего шифрования сети через полезная нагрузка программы-вымогателя».
«Чтобы получить доступ к лицензиям Brute Ratel, злоумышленники создают поддельные американские компании, которые используются в процессе проверки».
Ransomware теперь допускает поиск среди украденных данных
Две группы приняли новую стратегию, чтобы заставить компании-жертвы платить злоумышленникам за то, чтобы они не разглашали украденные данные.
Новая тактика заключается в добавлении функции поиска на сайте утечки, чтобы упростить поиск жертв или даже конкретных деталей.
По крайней мере, две группы недавно приняли эту стратегию, и, вероятно, другие злоумышленники сделают то же самое.
Простой поиск данных жертв
На прошлой неделе группа ALPHV/BlackCat объявила, что они создали доступную для поиска базу данных с утечками от неплатящих жертв.
Хакеры дали понять, что репозитории проиндексированы и поиск работает при поиске информации по имени файла или по содержимому, доступному в документах и изображениях.
Результаты берутся из раздела «Коллекции» сайта утечки BlackCat и могут быть не самыми точными, но это все же эволюция стратегии киберпреступника по вымогательству.
BlackCat утверждают, что делают это для того, чтобы другим киберпреступникам было проще подобрать пароли или конфиденциальную информацию о компаниях.
LockBit предлагает переработанную версию своего сайта утечки данных, которая позволяет искать компании-жертвы из списка.
Еще один сайт утечки, на котором реализована функция поиска, — сайт, опубликованный группой «Каракурт».
Новая программа-вымогатель Luna шифрует системы Windows, Linux и ESXi
Новое семейство программ-вымогателей, получившее название Luna, может использоваться для шифрования устройств, работающих под управлением нескольких операционных систем, включая системы Windows, Linux и ESXi.
Вымогатели Luna, обнаруженные исследователями безопасности «Лаборатории Касперского» через рекламу на форуме Dark Web, обнаруженную системой активного мониторинга Darknet Threat Intelligence, похоже, специально адаптированы для использования только русскоязычными злоумышленниками.
Luna (по-русски — луна) — это очень простая программа, которая все еще находится в стадии разработки и имеет ограниченные возможности, основанные на доступных параметрах командной строки.
Однако он использует не очень распространенную схему шифрования, сочетающую быстрый и безопасный обмен ключами Диффи-Хеллмана на эллиптической кривой X25519 с использованием Curve25519 с алгоритмом симметричного шифрования Advanced Encryption Standard (AES).
Кроссплатформенная программа-вымогатель на основе Rust
Группа, стоящая за этим новым вымогателем, разработала этот новый штамм на Rust и воспользовалась его платформо-независимой природой, чтобы перенести его на несколько платформ с очень небольшими изменениями в исходном коде.
Использование кроссплатформенного языка также позволяет программе-вымогателю Luna уклоняться от попыток автоматического статического анализа кода.
«Образцы для Linux и ESXi скомпилированы с использованием одного и того же исходного кода с некоторыми незначительными изменениями по сравнению с версией для Windows. Остальной код не имеет существенных изменений по сравнению с версией для Windows», — добавили исследователи.
Луна также подтверждает последнюю тенденцию, принятую кибергруппами, разрабатывающими кросс-платформенные программы-вымогатели, использующие такие языки, как Rust и Golang, для создания вредоносных программ, способных атаковать несколько операционных систем практически без изменений.
Касперский говорит, что очень мало данных о том, какие жертвы были зашифрованы с помощью программы-вымогателя Luna, если таковые имеются, учитывая, что группа была только что обнаружена и ее активность все еще отслеживается.
LockBit заявляет об атаке на итальянскую налоговую службу
Итальянские власти расследуют заявления LockBit о том, что они взломали сеть итальянской налоговой службы (L'Agenzia delle Entrate).
LockBit утверждает, что они украли 100 ГБ данных (включая документы компании, сканы, финансовые отчеты и контракты), которые будут просочены в Интернет, если итальянское налоговое агентство не заплатит требование о выкупе до 1 августа.
Итальянское налоговое агентство опубликовало на своем веб-сайте официальное заявление о «предполагаемой краже данных из налоговой информационной системы», в котором говорится, что оно запросило дополнительную информацию у Sogei (Società Generale d'Informatica) SpA, публичной компании Министерства экономики и финансов. который управляет технологической инфраструктурой финансовой администрации.
«Из проведенных технических расследований Sogei исключает возможность кибератаки на веб-сайт агентства», — говорится в сообщении агентства.
Sogei SpA также управляет ИТ-инфраструктурой, используемой другими итальянскими ведомствами, в том числе министерствами юстиции, внутренних дел и образования, генеральным прокурором штата и министерством финансов.
Представитель Sogei сообщил что «кибератак на технологические платформы и инфраструктуру финансового управления нет», добавив, что «невозможно предоставить дополнительные подробности, поскольку расследование продолжается».
Компания также поделилась официальным заявлением на своем веб-сайте, в котором говорится, что она не нашла доказательств кибератаки, затронувшей итальянское налоговое агентство.
«Что касается предполагаемой кибератаки на налоговую информационную систему, Sogei spa сообщает, что с момента первого проведенного анализа не было никаких кибератак и не было кражи данных с платформ и технологических инфраструктур Финансового управления», — говорится в сообщении публичной компании.
«Поэтому из проведенных технических расследований Sogei исключает кибератаку на сайт Агентства по доходам».
Sogei SpA добавила, что в настоящее время сотрудничает и поддерживает совместное расследование, которое координируется Национальным агентством кибербезопасности Италии и почтовой полицией.
LockBit впервые появилась в сентябре 2019 года как программа-вымогатель как услуга (RaaS) и была перезапущена как LockBit 2.0 RaaS в июне 2021 года после того, как группам вымогателей запретили размещать сообщения на форумах по киберпреступности.
В феврале ФБР выпустило экстренное предупреждение с индикаторами компрометации, связанной с атаками программ-вымогателей LockBit (на которые приходится 40% всех известных атак программ-вымогателей в мае 2022 года), с просьбой к организациям, на которые нацелены филиалы этого RaaS, срочно сообщать о любых инцидентах.
В прошлом месяце LockBit выпустила «LockBit 3.0», представляя первую программу вознаграждения за обнаружение ошибок программ-вымогателей, новую тактику вымогательства и варианты оплаты в криптовалюте Zcash.
Оператор LockBit использует Windows Defender для загрузки Cobalt Strike
Злоумышленники, связанные с LockBit 3.0, злоупотребляют инструментом командной строки Защитника Windows, чтобы загружать маяки Cobalt Strike на скомпрометированные системы и избегать обнаружения программным обеспечением безопасности.
Cobalt Strike — это легитимный набор для тестирования на проникновение с обширными функциями, популярными среди злоумышленников, для скрытой разведки сети и горизонтального перемещения перед тем, как украсть данные и зашифровать их.
Однако решения по обеспечению безопасности стали лучше обнаруживать маяки Cobalt Strike, что заставляет злоумышленников искать инновационные способы развертывания инструментария.
В недавнем случае реакции на атаку LockBit исследователи из Sentinel Labs заметили злоупотребление инструментом командной строки Microsoft Defender «MpCmdRun.exe» для боковой загрузки вредоносных библиотек DLL, которые расшифровывают и устанавливают маяки Cobalt Strike.
Первоначальная компрометация сети в обоих случаях была осуществлена путем использования уязвимости Log4j на уязвимых серверах VMWare Horizon для запуска кода PowerShell.
Неопубликованная загрузка маяков Cobalt Strike на скомпрометированные системы не является чем-то новым для LockBit, поскольку есть сообщения о подобных цепочках заражения, основанных на злоупотреблении утилитами командной строки VMware.
Злоупотребление Microsoft Defender
После установления доступа к целевой системе и получения необходимых пользовательских привилегий злоумышленники используют PowerShell для загрузки трех файлов: чистой копии утилиты Windows CL, файла DLL и файла журнала.
MpCmdRun.exe — это утилита командной строки для выполнения задач Microsoft Defender, которая поддерживает команды для сканирования на наличие вредоносных программ, сбора информации, восстановления элементов, выполнения диагностической трассировки и многого другого.
При выполнении MpCmdRun.exe загрузит законную DLL с именем «mpclient.dll», которая необходима для правильной работы программы.
В случае, проанализированном SentinelLabs, злоумышленники создали собственную версию mpclient.dll, предназначенную для использования в качестве оружия, и поместили ее в место, которое отдает приоритет загрузке вредоносной версии DLL-файла.
Исполняемый код загружает и расшифровывает зашифрованную полезную нагрузку Cobalt Strike из файла «c0000015.log», установленного вместе с двумя другими файлами на более ранней стадии атаки.
Хотя неясно, почему дочерняя компания LockBit переключилась с VMware на инструменты командной строки Защитника Windows для боковой загрузки маяков Cobalt Strike, это может быть сделано для обхода целевых средств защиты, реализованных в ответ на предыдущий метод.
Использование легитимных инструментов для уклонения от обнаружения EDR и AV в наши дни чрезвычайно распространено; следовательно, организациям необходимо проверять свои средства управления безопасностью и проявлять бдительность, отслеживая использование законных исполняемых файлов, которые могут быть использованы злоумышленниками.
BlackCat заявила об атаке на европейский газопровод
ALPHV, также известная как BlackCat, взяла на себя ответственность за кибератаку на Creos Luxembourg S.A. На прошлой неделе оператор газопровода и электросети в центральноевропейской стране.
Владелец Creos, Encevo, который работает в качестве поставщика энергии в пяти странах ЕС, объявил 25 июля, что они подверглись кибератаке в предыдущие выходные, между 22 и 23 июля.
Хотя кибератака привела к тому, что клиентские порталы Encevo и Creos стали недоступны, перерыва в предоставлении услуг не было.
28 июля компания опубликовала обновленную информацию о кибератаке, при этом первоначальные результаты их расследования показали, что сетевые злоумышленники украли «определенный объем данных» из систем, к которым был получен доступ.
На данный момент всем клиентам рекомендуется сбросить учетные данные своей онлайн-учетной записи, которые они использовали для взаимодействия с сервисами Encevo и Creos. Кроме того, если эти пароли одинаковы на других сайтах, клиенты также должны изменить свои пароли на этих сайтах.
BlackCat снова бьет по газу
В субботу группа вымогателей ALPHV/BlackCat добавила Creos на свой вымогательский сайт, угрожая опубликовать 180 000 украденных файлов общим размером 150 ГБ, включая контракты, соглашения, паспорта, счета и электронные письма.
Хотя точное время выполнения этой угрозы не было объявлено, хакеры пообещали, что раскрытие произойдет позже сегодня (в понедельник).
ALPHV/BlackCat недавно запустили новую платформу для вымогательства, на которой они делают украденные данные доступными для поиска посетителями с целью усилить давление на своих жертв, чтобы заставить их заплатить выкуп.
Считается, что BlackCat — это операция по ребрендингу DarkSide, которая была закрыта под давлением правоохранительных органов после широко разрекламированной атаки на Colonial Pipeline.
После закрытия DarkSide они переименовались в BlackMatter, чтобы уклониться от правоохранительных органов, но давление продолжалось, и группа снова закрылась.
С ноября 2021 года, когда субъекты угроз были перезапущены как BlackCat/ALPHV, субъекты угроз, как правило, избегают крупных американских целей и вместо этого нацеливаются на европейские организации, такие как австрийские государства, итальянские сети модной одежды и швейцарский поставщик услуг в аэропортах.
Однако похоже, что они не извлекли уроков из своих ошибок и продолжают атаковать критически важную инфраструктуру, такую как немецкая компания по поставке бензина Oiltanking в феврале, а теперь Creos Luxembourg.
Cisco взломана кибергруппой Yanluowang, предположительно украдено 2,8 ГБ
Сегодня Cisco подтвердила, что группа программ-вымогателей Yanluowang взломала корпоративную сеть в конце мая и что злоумышленник пытался получить выкуп под угрозой утечки украденных файлов в Интернете.
Компания сообщила, что злоумышленники могли собирать и украсть неконфиденциальные данные только из папки Box, связанной со взломанной учетной записью сотрудника.
«В конце мая 2022 года в нашей корпоративной сети Cisco произошел инцидент, связанный с безопасностью, и мы немедленно приняли меры по сдерживанию и устранению злоумышленников», — сообщил BleepingComputer представитель Cisco.
«Cisco не выявила какого-либо воздействия на наш бизнес в результате этого инцидента, включая продукты или услуги Cisco, конфиденциальные данные клиентов или конфиденциальную информацию о сотрудниках, интеллектуальную собственность или операции цепочки поставок.
«10 августа злоумышленники опубликовали список файлов из этого инцидента безопасности в темной сети. Мы также приняли дополнительные меры для защиты наших систем и делимся техническими подробностями, чтобы помочь защитить более широкое сообщество безопасности».
Украденные учетные данные сотрудников использовались для взлома сети Cisco
Злоумышленники Yanluowang получили доступ к сети Cisco, используя украденные учетные данные сотрудника после взлома его личной учетной записи Google, содержащей учетные данные, синхронизированные с их браузером.
Злоумышленник убедил сотрудника Cisco принять push-уведомления многофакторной аутентификации (MFA) с помощью слабости MFA и серии голосовых фишинговых атак, инициированных Yanluowang, которая выдавала себя за доверенные организации поддержки.
Злоумышленники, наконец, обманом заставили жертву принять одно из уведомлений MFA и получить доступ к VPN в контексте целевого пользователя.
Как только они закрепились в корпоративной сети компании, операторы Yanluowang распространились на серверы и контроллеры домена Citrix.
«Они перешли в среду Citrix, скомпрометировав ряд серверов Citrix и в конечном итоге получили привилегированный доступ к контроллерам домена, — сказал Cisco Talos.
Получив права администратора домена, они использовали инструменты подсчета, такие как ntdsutil, adfind и secretsdump, для сбора дополнительной информации и установили ряд полезных нагрузок на скомпрометированные системы, включая бэкдор.
В конце концов, Cisco обнаружила и вытеснила их из своей среды, но они продолжали попытки восстановить доступ в течение следующих недель.
«После получения первоначального доступа злоумышленник предпринял ряд действий для сохранения доступа, сведения к минимуму криминалистических артефактов и повышения уровня доступа к системам в среде», — добавил Cisco Talos.
«Субъект угрозы был успешно удален из среды и проявлял настойчивость, неоднократно пытаясь восстановить доступ в течение нескольких недель после атаки, однако эти попытки не увенчались успехом».
Хакеры утверждают, что похитили данные Cisco
На прошлой неделе злоумышленник, стоящий за взломом Cisco, отправил BleepingComputer по электронной почте список файлов, предположительно украденных во время атаки.
Злоумышленник заявил, что похитил 2,75 ГБ данных, состоящих примерно из 3100 файлов. Многие из этих файлов представляют собой соглашения о неразглашении, дампы данных и технические чертежи.
Злоумышленники также отправили отредактированный документ о неразглашении информации, украденный во время атаки, в BleepingComputer в качестве доказательства атаки и «намека» на то, что они взломали сеть Cisco и удалили файлы.
Сегодня вымогатели объявили о взломе Cisco на своем сайте утечки данных и опубликовали список каталогов.
В системах Cisco не развернуты программы-вымогатели
Cisco также заявила, что, несмотря на то, что Yanluowang известна тем, что шифрует файлы своих жертв, она не обнаружила никаких доказательств полезной нагрузки программ-вымогателей во время атаки.
«Хотя мы не наблюдали развертывания программ-вымогателей в этой атаке, используемые TTP соответствовали «активности перед программами-вымогателями», обычно наблюдаемой активности, ведущей к развертыванию программ-вымогателей в средах-жертвах», — добавила Cisco Talos в отдельном сообщении в блоге, опубликованном на Среда.
«Мы оцениваем с умеренной или высокой степенью достоверности, что эта атака была проведена злоумышленником, который ранее был идентифицирован как посредник первоначального доступа (IAB) со связями с бандой киберпреступников UNC2447, группой злоумышленников Lapsus$ и операторами программ-вымогателей Yanluowang».
Кибергруппы переходят к атакам социальной инженерии «обратного вызова»
По крайней мере, три группы, отделившиеся от операции по борьбе с вымогателями Conti, приняли фишинговую тактику BazarCall в качестве основного метода получения начального доступа к сети жертвы.
Это позволяет злоумышленникам развертывать узконаправленные атаки, которые труднее обнаружить и остановить из-за компонента социальной инженерии.
Основы BazarCall
Метод BazarCall/BazaCall, также называемый фишингом с обратным вызовом, появился в начале 2021 года как вектор атаки, используемый программой-вымогателем Ryuk, которая позже была переименована в Conti.
Злоумышленники, использующие этот метод, нацелены на сотрудников, будь то из одной компании или всей отрасли, и соответствующим образом адаптируют фишинговые кампании для максимальной эффективности.
Атака BazarCall начинается с электронного письма, в котором сообщается, что подписка, за которую якобы платит получатель, будет автоматически продлена, а отменить платеж можно, позвонив по определенному номеру.
Жертвы, звонящие по указанному номеру телефона, достигают злоумышленника, разбирающегося в социальной инженерии, который убеждает звонящего начать сеанс удаленного доступа с помощью легитимного программного обеспечения, контролируемого сетевым злоумышленником.
Пока социальный инженер отвлекает жертву, злоумышленник решает, как скомпрометировать сеть, не вызывая тревоги.
В настоящее время есть свидетельства существования трех групп, входящих в бывшую операцию по вымогательству Conti, которые использовали BazarCall или версию этой тактики: Silent Ransom Group, Quantum и Roy/Zeon.
Переход к социальной инженерии был вызван предсказуемостью атак, что привело к сокращению прибыли, поскольку защитники начали применять эффективные меры по смягчению последствий.
Однако обман людей позволил бы использовать более гибкий подход, который мог бы меняться от одной кампании к другой, что усложняло бы выявление атак и защиту от них.
По словам исследователей из компании Advanced Intelligence (AdvIntel), занимающейся киберразведкой, член Conti сказал следующее во внутренних сообщениях:
«Мы не можем выиграть войну технологий, потому что на этой почве мы конкурируем с компаниями-миллиардерами, но мы можем победить человеческий фактор»
Silent Ransom Group атакует крупные фирмы с помощью BazarCall
Начиная с апреля 2022 года, когда Conti закрывалась, операторы BazarCall сформировали собственную группу вымогателей под названием Silent Ransom Group (SRG). За три месяца они атаковали как минимум 94 организации, сосредоточившись только на краже данных и вымогательстве у жертв.
Как правило, в своих фишинговых кампаниях они рассылают поддельные уведомления о подписке, выдавая себя за платформу для изучения языка Duolingo и онлайн-образовательные платформы MasterClass.
Группа уделяла большое внимание организациям в секторе здравоохранения с годовым доходом от 500 000 до более 100 миллиардов долларов, почти 40% из них имеют доход выше 1 миллиарда долларов.
Хотя сегодня AdvIntel не называет никаких имен в своем отчете, исследователи описывают некоторые из основных целей и жертв SRG следующим образом:
команда НБА
многонациональный производитель оружия и аэрокосмическая компания (данные украдены при взломе)
крупный поставщик ИТ-решений
многомиллиардная компания, занимающаяся технологиями и программным обеспечением
крупный поставщик сантехники и ОВКВ
Quantum использует собственную тактику BazarCall
В середине июня 2022 года программа-вымогатель Quantum, еще одна отколовшаяся от Conti, начала использовать свою версию BazarCall в операции под названием «Jörmungandr»
Актеры разработали операцию, наняв людей, специализирующихся на рассылке спама, OSINT, дизайне и операторах колл-центра.
По информации AdvIntel, операторами программ-вымогателей Quantum было главное подразделение Conti (Conti Team Two), группа высококвалифицированных хакеров, ответственных за взлом правительства Коста-Рики.
Кампании звонков BazarCall, приписываемые группе Quantum, за два месяца стали более изощренными и нацелены на известные компании на основе приобретенных ими эксклюзивных наборов данных электронной почты.
Исследователи AdvIntel отмечают, что в фишинговых кампаниях BazarCall Quantum выдает себя за гораздо большее количество брендов:
Ginyard International
“Azure Dragon” (Azure Storage)
Oracle
HelloFresh
Luchechko Mortgage Team
US Equal Opportunity Employment Commission
CrowdStrike
Gobble
Независимо от темы фишингового письма злоумышленник призвал получателей звонить по номеру для получения дополнительных разъяснений.
AdvIntel говорит, что на одном из ранних этапов Quantum экспериментировала с электронными письмами BazarCall, выдающими себя за Oracle, и доставляла фишинговые сообщения более чем 200 000 получателей.
Позже они развернули более изощренные кампании, имитируя сообщение от компании по кибербезопасности CrowdStrike о ненормальной активности в сети жертвы.
Согласно отчету AdvIntel, Quantum использовала Jörmungandr, свою версию метода BazarCall, для нацеливания на пять «крупных компаний» с годовым доходом более 20 миллиардов долларов, большинство из которых в секторе здравоохранения.
Одним из них был поставщик управляемых услуг (MSP), который разрешил бы доступ к сотням предприятий и поставил бы их под угрозу их шифрования, подобно атаке программы-вымогателя REvil на Kaseya в прошлом году.
Когда они получали доступ к сети жертвы, хакеры Quantum обычно похищали данные и шифровали системы.
Третья группа, отделившаяся от Conti и принявшая методы, подобные BazarCall, называется Roy/Zeon по именам двух шкафчиков (Roy и Zeon), которые они используют для шифрования сетей жертв.
«Эта группа произошла от членов старой гвардии «Команды один» Конти, ответственной за создание самого Рюка» - AdvIntel
Roy/Zeon также лучше всех разбирается в социальной инженерии и очень избирательно подходит к своим целям, выбирая компании с высоким годовым доходом или из чувствительных отраслей.
Они начали использовать методы BazarCall 20 июня в сложных операциях, которые выдавали себя за наибольшее количество брендов, многие из которых были поставщиками программного обеспечения, используемого компаниями в определенной отрасли:
Sygnal Partners
iWired
Applied Automation Tech
RMM Central
Itarian
Auvik
RemotePC
RentoMojo
Parcel International
WhatFix
EZLynx
EATclub Canada
Standard Notes
Roy/Zeon демонстрирует навыки социальной инженерии
Исследователи AdvIntel говорят, что решение выдавать себя за вышеупомянутые бренды было основано на оценке того, что целевые сотрудники будут более склонны общаться с поставщиками программного обеспечения, характерного для их деятельности, которое менее известно за пределами отрасли.
Исследователи AdvIntel обнаружили, что в ходе недавней кампании злоумышленник нацелился на финансовые учреждения с поддельным уведомлением от поставщика Standard Notes — приложения для создания заметок с сквозным шифрованием — об окончании пробного периода.
Обратный фишинг окупается
Исследователи AdvIntel отмечают, что кампании BazarCall, которые они приписывают SRG, Quantum и Roy/Zeon, в течение чуть более трех месяцев привели к 20 громким обращениям и требованиям выкупа на десятки миллионов долларов США.
Оценка риска для этого нового вектора атаки мрачна, поскольку злоумышленники могут использовать его для увеличения уровня заражения с помощью злонамеренного программного обеспечения, такого как Atera, Cobalt Strike, Brute Ratel, Zoho Remote Desktop Control, агенты удаленного мониторинга и управления или вредоносное ПО (Sliver). .
Хотя обнаружение начального этапа атаки может быть затруднено, защитники могут отслеживать необычные сигналы связи с сервером управления и контроля, а также сигнальные маяки, установленные на машинах, которые указывают на заражение.
Кроме того, AdvIntel рекомендует контролировать сеть на предмет возможных боковых перемещений, которые могут повлиять на контроллер домена.
Zeppelin может несколько раз шифровать устройства при атаках
Агентство кибербезопасности и безопасности инфраструктуры (CISA) и Федеральное бюро расследований (ФБР) сегодня предупредили организации США, что злоумышленники, использующие программу-вымогатель Zeppelin, могут многократно шифровать свои файлы.
Два федеральных агентства также поделились тактикой, методами и процедурами (TTP) и индикаторами компрометации (IOC), чтобы помочь специалистам по безопасности обнаруживать и блокировать атаки с использованием этого штамма программ-вымогателей.
«ФБР наблюдало случаи, когда субъекты Zeppelin несколько раз запускали свое вредоносное ПО в сети жертвы, что приводило к созданию разных идентификаторов или расширений файлов для каждого экземпляра атаки; в результате жертве требовалось несколько уникальных ключей дешифрования», — говорится в сообщении. совместный бюллетень, опубликованный сегодня показал.
Обнаруженный ФБР совсем недавно, 21 июня, Zeppelin представляет собой операцию Ransomware as a Service (RaaS), чье вредоносное ПО претерпело несколько изменений имени с VegaLocker на Buran, VegaLocker, Jamper, а теперь и на Zeppelin.
Филиалы Zeppelin действуют как минимум с 2019 года, ориентируясь на предприятия и организации критической инфраструктуры, такие как оборонные подрядчики и технологические компании, уделяя особое внимание организациям из сферы здравоохранения и медицины.
Они также известны кражей данных для двойного вымогательства и запросами выкупа в биткойнах, причем первоначальные требования варьируются от нескольких тысяч до более миллиона долларов.
Вредоносная программа SOVA добавляет функцию вымогателей для шифрования устройств Android
Банковский троян SOVA для Android продолжает развиваться, добавляя новые функции, улучшения кода и добавление новой функции программы-вымогателя, которая шифрует файлы на мобильных устройствах.
В последнем выпуске вредоносное ПО SOVA теперь нацелено на более 200 банковских приложений, приложений для обмена криптовалютами и цифровых кошельков, пытаясь украсть у них конфиденциальные пользовательские данные и файлы cookie.
Кроме того, он имеет рефакторинг и улучшенный код, который помогает ему работать более скрытно на скомпрометированном устройстве, а в его последней версии 5.0 добавлен модуль вымогателя.
Быстрая эволюция
Аналитики угроз компании Cleafy, занимающейся безопасностью мобильных устройств, следили за эволюцией SOVA с момента объявления проекта в сентябре 2021 года и сообщают, что в 2022 году его развитие резко ускорилось.
В марте 2022 года SOVA выпустила версию 3, добавив перехват 2FA, кражу файлов cookie и новые инъекции для нескольких банков по всему миру. Инъекции — это наложения, отображаемые поверх законных запросов на вход в систему, которые используются для кражи учетных данных, например, для приложений онлайн-банка.
В июле 2022 года команда разработчиков SOVA выпустила версию 4, в которой количество целевых приложений увеличилось до 200, а также были добавлены возможности VNC (виртуальные сетевые вычисления) для мошенничества на устройстве.
Вредоносное ПО отправляет список установленных приложений на C2 и получает XML, содержащий список адресов, указывающих на правильные оверлеи, которые должны загружаться, когда жертва открывает целевое приложение.
В четвертой основной версии также добавлена поддержка таких команд, как создание снимков экрана, выполнение щелчков и пролистываний, копирование и вставка файлов, а также отображение наложенных экранов по желанию.
В этом выпуске также был проведен значительный рефакторинг кода в механизме кражи файлов cookie, который теперь ориентирован на Gmail, GPay и Google Password Manager.
SOVA v4 добавила некоторые средства защиты от защитных действий, злоупотребляя разрешениями на доступность, чтобы вернуть пользователя на главный экран, если он попытается удалить приложение вручную.
Наконец, четвертая версия была ориентирована на Binance и приложение платформы «Trust Wallet» с использованием специального модуля, созданного для кражи секретной фразы пользователя.
Новый модуль вымогателей
Совсем недавно Cleafy протестировала ранний выпуск SOVA v5, в который были внесены многочисленные улучшения кода и добавлены новые функции, такие как модуль программы-вымогателя.
Модуль использует шифрование AES для блокировки всех файлов на зараженных устройствах и добавления расширения «.enc» к переименованным зашифрованным файлам.
«Функция программы-вымогателя весьма интересна, поскольку она до сих пор не распространена среди банковских троянов Android. Она активно использует возможности, появившиеся в последние годы, поскольку мобильные устройства стали для большинства людей центральным хранилищем личных и деловых данных».
Однако пятая версия еще не получила широкого распространения, а ее модуль VNC отсутствует в ранних образцах, поэтому вполне вероятно, что эта версия все еще находится в стадии разработки.
По словам Клифи, даже в своем нынешнем незавершенном виде SOVA v5 готова к массовому развертыванию, поэтому всем пользователям Android рекомендуется проявлять бдительность.
Наконец, автор вредоносной программы, похоже, полон решимости и способен выполнить свои обещания от сентября 2021 года, придерживаясь графика разработки и добавляя расширенные функции каждые несколько месяцев.
Это делает SOVA все более опасной угрозой, поскольку банковский троян в настоящее время позиционирует себя как один из пионеров все еще недостаточно изученной области мобильных программ-вымогателей.
BlackByte вернулся с новой тактикой вымогательства.
BlackByte вернулся с версией 2.0, включая новый сайт утечки данных, использующий новые методы вымогательства, заимствованные у LockBit.
После непродолжительного исчезновения программа-вымогатель теперь продвигает новый сайт утечки данных на хакерских форумах и через учетные записи Twitter, которые контролирует злоумышленник.
Злоумышленники называют эту новую итерацию своей операции BlackByte версии 2.0, и хотя неясно, изменился ли также шифровальщик, группа запустила совершенно новый сайт утечки данных Tor.
Сайт утечки данных включает только одну жертву в настоящее время, но теперь имеет новые стратегии вымогательства, которые позволяют жертвам платить за продление публикации своих данных на 24 часа (5000 долларов США), загрузку данных (200 000 долларов США) или уничтожение всех данных (300 000 долларов США). ). Эти цены, скорее всего, изменятся в зависимости от размера/дохода жертвы.
Однако, как указала компания KELA, занимающаяся разведкой в области кибербезопасности, новый сайт утечки данных BlackByte неправильно встраивает адреса Биткойн и Монеро, которые «клиенты» могут использовать для покупки или удаления данных, что делает эти новые функции в настоящее время неработоспособными.
Цель этих новых методов вымогательства — позволить жертве заплатить за удаление своих данных, а другим злоумышленникам — приобрести их, если они того пожелают.
LockBit представила ту же тактику вымогательства с выпуском своей версии 3.0 и рассматривается скорее как уловка, чем как жизнеспособная тактика вымогательства.
Кто такой BlackByte?
Операция по вымогательству BlackByte началась летом 2021 года, когда хакеры начали взламывать корпоративные сети для кражи данных и шифрования устройств.
Их самая громкая атака была совершена против игроков NFL 49ers, но в совместном консультативном заключении ФБР и Секретной службы говорится, что они также несут ответственность за атаки на критически важные секторы инфраструктуры, включая государственные учреждения, финансовые учреждения, а также продукты питания и сельское хозяйство.
Известно, что злоумышленники взламывают сети, используя уязвимости, и в прошлом взламывали серверы Microsoft Exchange, используя цепочку атак ProxyShell.
В 2021 году в работе была обнаружена уязвимость, позволившая создать бесплатный дешифратор BlackByte. К сожалению, после сообщения об уязвимости злоумышленники исправили ее.
LockBit заявляет об атаке шифровальщика на крупную компанию по безопасности Entrust
LockBit взял на себя ответственность за июньскую кибератаку на гиганта цифровой безопасности Entrust.
8 июня 2022 года Entrust подвергся атаке шифровальщика.
Хотя Entrust подтвердил, что они подверглись кибератаке и что данные были украдены из внутренних систем, они не подтвердили, что это была атака шифровальщика.
«Мы определили, что некоторые файлы были взяты из наших внутренних систем. Поскольку мы продолжаем исследовать проблему, мы свяжемся с вами напрямую, если узнаем информацию, которая, по нашему мнению, может повлиять на безопасность продуктов и услуг, которые мы предоставляем вашей организации», Entrust сообщил BleepingComputer в прошлом месяце.
Однако генеральный директор AdvIntel Виталий Кремез сообщил в то время, что известная кибергруппа атаковала Entrust после покупки доступа к корпоративной сети через «продавцов доступа к сети».
LockBit заявляет об атаке на Entrust
Сегодня исследователь безопасности Доминик Альвьери сообщил, что LockBit создала на своем веб-сайте специальную страницу утечки данных для Entrust, заявив, что они опубликуют все украденные данные завтра вечером.
Когда кибергруппы публикуют данные на своих сайтах утечки данных, они обычно сливают данные с течением времени, чтобы напугать жертву и заставить ее вернуться за стол переговоров.
Поскольку LockBit заявляет, что они опубликуют все данные, это указывает на то, что Entrust не вела переговоры с операцией по вымогательству или отказывается выполнять их требования.
BleepingComputer обратился к Entrust за дальнейшим подтверждением атаки LockBit, но в настоящее время не получил ответа.
Однако заявление LockBit об атаке подтверждает то, что источники ранее сообщали BleepingComputer о том, кто несет ответственность.
LockBit считается одной из самых активных операций с программами-вымогателями в настоящее время, а ее общедоступная операция «LockBitSupp» активно взаимодействует с субъектами угроз и исследователями кибербезопасности.
В июне был выпущен LockBit 3.0 с новыми шифровальщиками, основанными на исходном коде BlackMatter, новыми вариантами оплаты, новыми стратегиями вымогательства и первой программой вознаграждения за ошибки программ-вымогателей.
Из-за постоянного внедрения новых тактик, технологий и методов оплаты специалистам по безопасности и сетям жизненно важно быть в курсе развития операции и ее TTP.
LockBit использует тактику тройного вымогательства
LockBit объявил, что он улучшает защиту от распределенных атак типа «отказ в обслуживании» (DDoS) и работает над тем, чтобы вывести операцию на тройной уровень вымогательства.
Кибергруппа недавно подверглась DDoS-атаке, предположительно от имени гиганта цифровой безопасности Entrust, которая предотвратила доступ к данным, опубликованным на ее корпоративном сайте утечек.
LockBit попадает в DDoS
На этой неделе было объявлено, что LockBit вернулся в бизнес с более крупной инфраструктурой, чтобы обеспечить доступ к утечкам, не опасаясь DDoS-атак.
DDoS-атака на прошлых выходных, которая временно остановила утечку данных Entrust, была воспринята как возможность изучить тактику тройного вымогательства, чтобы оказать большее давление на жертв, чтобы они заплатили выкуп.
LockBitSupp заявил, что оператор программы-вымогателя теперь хочет добавить DDoS в качестве тактики вымогательства в дополнение к шифрованию данных и их утечке.
«Ищу DDoSers в команду, скорее всего теперь мы будем атаковать цели и обеспечим тройное вымогательство, шифрование + утечка данных + dudos, потому что я почувствовал силу dudos и то, как это бодрит и делает жизнь интереснее, — написал LockBitSupp в сообщении на хакерском форуме.
Утечка данных Entrust
Lockbit пообещал поделиться через торрент 300 ГБ данных, украденных у Entrust, чтобы «весь мир узнал ваши секреты».
Представитель LockBit сказал, что они поделятся утечкой данных Entrust в частном порядке со всеми, кто свяжется с ними, прежде чем сделать их доступными через торрент.
Похоже, что LockBit сдержал свое обещание и выпустил в эти выходные торрент под названием «entrust.com» с 343 ГБ файлов.
Операторы хотели убедиться, что данные Entrust доступны из нескольких источников, и, помимо публикации их на своем сайте, они также предоставили доступ к торренту как минимум двум службам хранения файлов, причем один из них больше не делает его доступным.
Защита от DDoS-атак
Один из уже реализованных методов предотвращения дальнейших DDoS-атак — использование уникальных ссылок в примечаниях о выкупе для жертв.
«Уже реализована функция рандомизации ссылок в заметках локера, каждая сборка локера будет иметь уникальную ссылку, которую дидосер [DDoSer] не сможет распознать», — написал LockBitSupp.
Они также объявили об увеличении количества зеркал и серверов-дубликатов, а также о плане повысить доступность украденных данных, сделав их доступными через клиринговую сеть через службу защищенного хранилища.
Lockbit Ransomware Builder просочился в Интернете как «Angry Developer»
В июне Lockbit выпустил версию 3.0 своего Encryptor Codened Lockbit Black, после тестирования в течение двух месяцев.
Новая версия обещала «сделать вымогательную программу снова великим», добавив новые функции антианализа, программу щедрости с ошибкой вымогателей и новые методы вымогательства.
Тем не менее, похоже, что Lockbit подвергся атаке, и два человека (или, может быть, один и тот же человек), допустили утечку builder-а Lockbit 3.0 в Твиттере.
Lockbit 3.0 Builder просочился в Twitter
По словам исследователя безопасности 3XP0RT, недавно зарегистрированный пользователь Twitter по имени «Али Кушджи» заявляет, что их команда взломала серверы Lockbit и нашла builder для зашифрования Ransomware Lockbit 3.0.
После того, как исследователь безопасности 3XP0RT поделился твиттом о просочившемся буилдере Lockbit 3.0, VX-Underground поделился, что с ним связался 10 сентября пользователем по имени «ProtonLeaks», который также поделился копией буилдера.
Билдер позволяет кому -нибудь начать новое вымогательство.
Независимо от того, как просочился частный буилдер, это не только серьезный удар по операции Lockbit Ransomware, но еще и предприятие, которое приведет к росту актеров -угроз, использующих его для запуска своих собственных атак.
Утечка Lockbit 3.0 Builder позволяет кому -либо быстро создавать исполняемые файлы, необходимые для запуска собственной операции, включая Encryptor, Decryptor и специализированные инструменты для запуска Decryptor определенным образом.
Билдер состоит из четырех файлов: генератора ключей шифрования, билдера, модифицируемого файла конфигурации и пакетного файла для создания всех файлов.
Этот билдер - не первый случай, когда вымогатель или исходный код был украден, что приводит к увеличению атак других актеров -угроз, которые запустили свои собственные операции.
В июне 2021 года была утечка Babuk Ransomware Builder, что позволило любому создавать крипторы для Windows и VMware ESXI, которые другие актеры использовали в атаках.
В марте 2022 года, утекли коды группы Conti, их исходный код также просочился в Интернете. Этот исходный код был быстро использован хакерской группой NB65 для запуска атак Ransomware на Россию.
Программа-вымогатель BlackCat (также известная как ALPHV) не проявляет никаких признаков замедления, и последним примером ее эволюции является новая версия инструмента для кражи данных, используемого для атак с двойным вымогательством.
BlackCat считается преемником Darkside и BlackMatter и является одной из самых сложных и технически продвинутых операций Ransomware-as-a-Service (RaaS).
Исследователи безопасности в Symantec, которые называют BlackCat «Noberus», сообщают, что разработчик первого штамма вымогателя на основе Rust постоянно улучшает и обогащает вредоносное ПО новыми функциями.
В последнее время основное внимание, по-видимому, уделялось инструменту, используемому для эксфильтрации данных из скомпрометированных систем, что является важным требованием для проведения атак с двойным вымогательством.
Инструмент под названием Exmatter использовался с момента запуска BlackCat в ноябре 2021 года и был сильно обновлен в августе 2022 года со следующими изменениями:
Ограничены типы файлов для эксфильтрации: PDF, DOC, DOCX, XLS, PNG, JPG, JPEG, TXT, BMP, RDP, SQL, MSG, PST, ZIP, RTF, IPT и DWG.
Добавлен FTP в качестве опции эксфильтрации в дополнение к SFTP и WebDav.
Предложена возможность построить отчет со списком всех обработанных файлов
Добавлена функцию «Ластик», дающую возможность повреждать обработанные файлы.
Добавлен параметр конфигурации «Самоуничтожение», чтобы выйти и удалить себя, если он выполняется в недопустимой среде.
Удалена поддержку Socks5
Добавлена опция для развертывания GPO
В дополнение к расширенным возможностям, последняя версия Exmatter подверглась серьезному рефакторингу кода, реализуя существующие функции более скрытно, чтобы избежать обнаружения.
Еще одним недавним дополнением к возможностям BlackCat по краже информации является развертывание нового вредоносного ПО под названием «Eamfo», которое явно нацелено на учетные данные, хранящиеся в резервных копиях Veeam.
Это программное обеспечение обычно используется для хранения учетных данных для контроллеров домена и облачных служб, чтобы злоумышленники могли использовать их для более глубокого проникновения и горизонтального перемещения.
Eamfo подключается к базе данных Veeam SQL и крадет учетные данные для резервного копирования с помощью следующего SQL-запроса:
select [user_name],[password],[description] FROM [VeeamBackup].[dbo].[Credentials]
После извлечения учетных данных Eamfo расшифровывает их и отображает злоумышленнику.
Исследователи отмечают, что вредоносное ПО для кражи информации в прошлом использовалось другими кибергруппами, включая Monti, Yanluowang и LockBit.
Наконец, Symantec заметила, что операция BlackCat была замечена с использованием более старой утилиты для защиты от руткитов, призванной завершать антивирусные процессы.
Оставаться на вершине
В июне 2022 года BlackCat представила поддержку шифрования файлов на архитектурах ARM и режим шифрования в безопасном режиме Windows с подключением к сети или без нее.
В то время кибергуппа также создала специальный онлайн-ресурс, где люди могли искать свои украденные данные, чтобы усилить давление на взломанные фирмы.
Очевидно, что BlackCat постоянно развивается с новыми инструментами, улучшениями и стратегиями вымогательства, чтобы сделать работу RaaS более эффективной и действенной.
Symantec сообщает, что операторы BlackCat исключают аффилированных лиц, которые не так продуктивны, как им хотелось бы, предлагая им сотрудничать с более низкими программами RaaS.
Исследователи также видели, как бывшие филиалы Conti перешли на BlackCat/ALPHV после того, как Conti закрыла их деятельность.
Это отключение привело к притоку опытных злоумышленников, которые смогли быстро запустить новые атаки в рамках новой операции.
Инструмент для кражи данных программ-вымогателей может показать изменение тактики вымогательства
Вредоносное ПО для кражи данных, известное как Exmatter и ранее связанное с группой программ-вымогателей BlackMatter, теперь обновляется с помощью функции повреждения данных, что может указывать на новую тактику, к которой аффилированные лица программ-вымогателей могут перейти в будущем.
Новый образец был обнаружен аналитиками вредоносных программ из группы специальных операций Cyderes во время недавнего реагирования на инцидент после атаки программы-вымогателя BlackCat, а затем передан группе исследования угроз Stairwell для дальнейшего анализа (Symantec видел аналогичный образец, развернутый во время атаки программы-вымогателя Noberus).
Хотя Exmatter используется аффилированными лицами BlackMatter как минимум с октября 2021 года, это первый раз, когда вредоносный инструмент был замечен с деструктивным модулем.
«По мере того, как файлы загружаются на управляемый актером сервер, файлы, которые были успешно скопированы на удаленный сервер, ставятся в очередь для обработки классом Eraser», — сказал Сайдерес.
«Сегмент произвольного размера, начинающийся в начале второго файла, считывается в буфер, а затем записывается в начало первого файла, перезаписывая его и повреждая файл».
Эта тактика использования данных из одного извлеченного файла для повреждения другого файла может быть частью попытки уклониться от обнаружения программ-вымогателей или эвристического стирания, которое может срабатывать при использовании случайно сгенерированных данных.
Как обнаружили исследователи угроз Stairwell, частично реализованные возможности уничтожения данных Exmatter, вероятно, все еще находятся в разработке, учитывая следующее:
Не существует механизма для удаления файлов из очереди повреждения, а это означает, что некоторые файлы могут быть перезаписаны много раз, прежде чем программа завершит работу, а другие, возможно, никогда не будут выбраны.
Функция, которая создает экземпляр класса Eraser, с именем Erase, похоже, не полностью реализована и не декомпилируется должным образом.
Длина фрагмента второго файла, который используется для перезаписи первого файла, определяется случайным образом и может составлять всего один байт
Переключиться на повреждение данных, чтобы сохранить все деньги?
Эта функция повреждения данных является интересной разработкой, и хотя она также может использоваться для обхода программного обеспечения безопасности, исследователи из Stairwell и Cyderes считают, что это может быть частью изменения стратегии, используемой филиалами программ-вымогателей.
Многие операции с программами-вымогателями выполняются как программа-вымогатель как услуга, где операторы/разработчики отвечают за разработку программы-вымогателя, платежного сайта и ведения переговоров, а аффилированные лица присоединяются к корпоративным сетям, краже данных, удалению резервных копий и шифрованию устройств. .
В рамках этой договоренности операторы программ-вымогателей получают от 15 до 30% от любого платежа выкупа, а аффилированные лица получают остальное.
Однако в прошлом было известно, что операции программ-вымогателей приводили к ошибкам, которые позволяли исследователям в области безопасности создавать дешифраторы, помогающие жертвам бесплатно восстанавливать файлы.
Когда это происходит, партнеры теряют любой потенциальный доход, который они могли бы получить как часть платежа выкупа.
В связи с этим исследователи считают, что эта новая функция повреждения данных может стать новым переходом от традиционных атак программ-вымогателей, когда данные крадут, а затем шифруют, к атакам, при которых данные крадут, а затем удаляют или повреждают.
В соответствии с этим методом партнер получает весь доход, полученный от атаки, поскольку ему не нужно делиться процентом с разработчиком шифровальщика.
«Аффилированные лица также потеряли прибыль от успешных вторжений из-за уязвимых мест в развернутой программе-вымогателе, как это было в случае с BlackMatter, программой-вымогателем, связанной с предыдущими появлениями этого инструмента для эксфильтрации на основе .NET», — добавил Сайдерс.
Уничтожение конфиденциальных данных после эксфильтрации их на свои серверы предотвратит это и, скорее всего, также послужит дополнительным стимулом для жертв платить требования выкупа.
«Устранение этапа шифрования данных ускоряет процесс и устраняет риск неполучения полной выплаты или того, что жертва найдет другие способы расшифровки данных», — сказал Сайдерс.
Возможно, поэтому мы видим, что инструменты эксфильтрации находятся в процессе обновления с возможностью повреждения данных в процессе разработки, что, вероятно, позволит аффилированным лицам RaaS удалить часть развертывания программ-вымогателей в своих атаках, чтобы оставить все деньги себе.
«Кроме того, за каждый полученный вымогательство платеж оператор будет удерживать 100% выкупа, а не платить процент разработчикам RaaS», — заключил исследователь угроз Stairwell Дэниел Майер.
«Эти факторы завершаются оправданным случаем, когда аффилированные лица отказываются от модели RaaS, чтобы вычеркнуть ее самостоятельно, заменив программы-вымогатели, требующие интенсивной разработки, уничтожением данных».
Утекший билдер LockBit 3.0 используется в новых атаках
Относительно новая кибергруппа Bl00Dy начала использовать недавно просочившийся сборщик программ-вымогателей LockBit для атак на компании.
На прошлой неделе в Твиттер просочилась программа-вымогатель LockBit 3.0. Этот конструктор позволяет любому создать полнофункциональный шифратор и дешифратор, который злоумышленники могут использовать для атак.
Поскольку сборщик включает в себя файл конфигурации, который можно легко настроить для использования различных заметок о выкупе, серверов статистики и функций, было предсказано, что другие злоумышленники вскоре будут использовать сборщик для создания своих собственных программ-вымогателей.
К сожалению, наши прогнозы сбылись, и относительно новая группа программ-вымогателей под названием «Bl00Dy Ransomware Gang» уже использовала конструктор для атак.
BlackByte использует легальный драйвер для отключения продуктов безопасности
BlackByte использует новую технику, которую исследователи называют «Принеси свой собственный драйвер», которая позволяет обходить защиту, отключая более 1000 драйверов, используемых различными решениями безопасности.
Недавние атаки, приписываемые этой группе, были связаны с версией драйвера MSI Afterburner RTCore64.sys, которая уязвима для повышения привилегий и уязвимости выполнения кода, отслеживаемой как CVE-2019-16098.
Использование проблемы безопасности позволило BlackByte отключить драйверы, препятствующие нормальной работе обнаружения и реагирования на несколько конечных точек (EDR), а также антивирусные продукты.
Метод «Принеси свой собственный уязвимый драйвер» (BYOVD) эффективен, поскольку уязвимые драйверы подписаны действительным сертификатом и запускаются в системе с высокими привилегиями.
Два примечательных недавних примера атак BYOVD включают Lazarus, злоупотребляющий драйвером Dell, и неизвестные хакеры, злоупотребляющие античитерским драйвером/модулем для игры Genshin Impact.
Детали атаки
Исследователи безопасности из компании Sophos, занимающейся кибербезопасностью, объясняют, что злоупотребляемый графический драйвер MSI предлагает коды управления вводом-выводом, напрямую доступные процессам пользовательского режима, что нарушает правила безопасности Microsoft в отношении доступа к памяти ядра.
Это позволяет злоумышленникам читать, писать или выполнять код в памяти ядра без использования шелл-кода или эксплойта.
На первом этапе атаки BlackByte идентифицирует версию ядра, чтобы выбрать правильные смещения, соответствующие идентификатору ядра.
Затем RTCore64.sys помещается в «AppData\Roaming» и создает службу, используя жестко заданное имя и случайно выбранное, не очень тонкое отображаемое имя.
Затем злоумышленники используют уязвимость драйвера для удаления процедур уведомления ядра, которые соответствуют процессам инструментов безопасности.
Полученные адреса обратного вызова используются для получения соответствующего имени драйвера и сравниваются со списком из 1000 целевых драйверов, которые поддерживают функцию инструментов AV/EDR.
Любые совпадения, найденные на этом этапе, удаляются путем перезаписи нулями элемента, содержащего адрес функции обратного вызова, поэтому целевой драйвер аннулируется.
Sophos также выделяет несколько методов, которые BlackByte использует в этих атаках, чтобы избежать анализа со стороны исследователей безопасности, таких как поиск признаков работы отладчика в целевой системе и выход из него.
Вредоносная программа BlackByte также проверяет список перехватывающих DLL-библиотек, используемых Avast, Sandboxie, библиотекой Windows DbgHelp и Comodo Internet Security, и прекращает свое выполнение в случае обнаружения.
Системные администраторы могут защититься от нового приема обхода безопасности BlackByte, добавив конкретный драйвер MSI в активный черный список.
Кроме того, администраторы должны отслеживать все события установки драйверов и часто проверять их, чтобы найти любые мошеннические инъекции, которые не соответствуют оборудованию.
Magniber теперь заражает пользователей Windows через файлы JavaScript
Недавняя вредоносная кампания по доставке Magniber была нацелена на домашних пользователей Windows с поддельными обновлениями безопасности.
Злоумышленники создали в сентябре веб-сайты, рекламирующие поддельные обновления антивируса и безопасности для Windows 10. Загруженные вредоносные файлы (ZIP-архивы) содержали JavaScript, который инициировал сложное заражение вредоносным ПО, шифрующим файлы.
В отчете группы HP по анализу угроз отмечается, что операторы Magniber потребовали от домашних пользователей плату в размере до 2500 долларов за получение инструмента дешифрования и восстановление своих файлов. Штамм явно фокусируется на сборках Windows 10 и Windows 11.
В апреле 2022 года Magniber распространялся как обновление Windows 10 через сеть вредоносных веб-сайтов.
В январе его операторы использовали обновления браузеров Chrome и Edge для отправки вредоносных файлов пакетов приложений Windows (.APPX).
Новая цепочка инфекций Магнибера
В предыдущей кампании злоумышленник использовал файлы MSI и EXE. В последнее время он переключился на файлы JavaScript со следующими именами:
Эти файлы запутаны и используют вариант метода «DotNetToJScript» для выполнения файла .NET в системной памяти, что снижает риск обнаружения антивирусными продуктами, доступными на хосте.
Файл .NET декодирует шелл-код, который использует свою собственную оболочку для выполнения скрытых системных вызовов, и внедряет его в новый процесс перед завершением своего собственного.
Шелл-код удаляет файлы теневого копирования через WMI и отключает функции резервного копирования и восстановления через «bcdedit» и «wbadmin». Это увеличивает шансы на получение оплаты, поскольку у жертв меньше возможностей восстановить свои файлы.
Для выполнения этого действия Magniber использует обход функции контроля учетных записей (UAC) в Windows.
Он основан на механизме, который включает создание нового раздела реестра, позволяющего указать команду оболочки. На более позднем этапе выполняется утилита fodhelper.exe для запуска сценария удаления теневых копий.
Наконец, Magniber шифрует файлы на хосте и сбрасывает заметки о выкупе, содержащие инструкции для жертвы по восстановлению своих файлов.
Аналитики HP заметили, что хотя Magniber пытается ограничить шифрование только определенными типами файлов, псевдохеш, который он генерирует во время перечисления, не идеален, что приводит к коллизиям хэшей и «сопутствующему ущербу», т. е. к шифрованию нецелевых типов файлов. .
Домашние пользователи могут защититься от атаки программ-вымогателей, регулярно создавая резервные копии своих файлов и сохраняя их на автономном устройстве хранения. Это позволяет восстановить данные на только что установленную операционную систему.
LockBit заявляет об атаке на Министерство финансов Калифорнии
Департамент финансов Калифорнии стал объектом кибератаки, ответственность за которую теперь взяла группа LockBit.
Калифорнийский центр интеграции кибербезопасности (Cal-CSIC), группа государственных и федеральных агентств, занимающихся защитой от киберугроз, начала расследование.
Текущее расследование
Управление по чрезвычайным ситуациям губернатора Калифорнии подтвердило, что Департамент финансов пострадал от киберинцидента, но не предоставило слишком подробной информации.
«Вторжение было заранее выявлено благодаря координации с партнерами по безопасности на уровне штата и на федеральном уровне. После выявления этой угрозы были быстро направлены эксперты по цифровой безопасности и онлайн-охоте за угрозами, чтобы оценить масштабы вторжения, а также оценить, сдержать и смягчить будущие уязвимости», — Управление аварийных служб Калифорнии.
Неясно, какой ущерб нанесли хакеры и как им удалось взломать отдел. Однако в штате Калифорния заявляют, что атака не затронула государственные средства.
LockBit заявляет о 75 ГБ украденных файлов
В понедельник LockBit разместила на своем сайте утечки информацию о том, что они взломали Департамент финансов штата Калифорния и украли базы данных, конфиденциальные данные, финансовые документы и ИТ-документы.
В доказательство своего утверждения хакеры опубликовали несколько скриншотов файлов, которые они якобы украли из систем Министерства финансов Калифорнии.
Хакеры также опубликовали скриншот каталогов и количество сохраненных файлов. В диалоговом окне свойств отображается более 246 000 файлов в более чем 114 000 папок, что составляет 75,3 ГБ данных.
Сайт утечки данных LockBit показывает счетчик, который должен получить оплату до 24 декабря, угрожая опубликовать все файлы, если они не получат выкуп.
Конструктор, который позволяет генерировать шифровальщик и дешифратор для программы-вымогателя LockBit, был слит в сентябре недовольным оператором.
Через неделю новая группа, назвавшая себя BloodDy Ransomware Gang, начала использовать его в своих атаках.
Операторы LockBit обычно сосредотачиваются на вымогательстве у крупных компаний и являются одними из самых активных на сцене программ-вымогателей с крупными суммами выкупа
Среди жертв LockBit в этом году — автомобильный гигант Continental, охранная компания Entrust и Налоговая служба Италии (L’Agenzia delle Entrate).
Кибергруппа руководствуется финансовыми соображениями и первой внедрила программу вознаграждения за обнаружение ошибок, предлагая вознаграждение в размере до 1 миллиона долларов за уязвимости на своих веб-сайтах, локерах и новые идеи для расширения своей деятельности.
Новая программа Mimic Ransomware использует инструмент поиска Everything от Windows
Исследователи безопасности обнаружили новую разновидность ramsomware - Mimic, которая использует API-интерфейсы инструмента поиска файлов Everything для поиска файлов, предназначенных для шифрования.
Вредоносная программа, обнаруженная в июне 2022 года исследователями компании Trend Micro, занимающейся кибербезопасностью, нацелена в основном на англо- и русскоязычных пользователей.
Часть кода в Mimic имеет сходство с Conti, источник которой был раскрыт в марте 2022 года украинским исследователем.
Mimic атаки
Атаки, Mimic Ransomware, начинаются с того, что жертва получает исполняемый файл, предположительно по электронной почте, который извлекает четыре файла в целевой системе, включая основную полезную нагрузку, вспомогательные файлы и инструменты для отключения Защитника Windows.
Mimic — это универсальный штамм вымогателя, который поддерживает аргументы командной строки для узкого нацеливания на файл, а также может использовать несколько потоков процессора для ускорения процесса шифрования данных.
Новое семейство ransomware имеет несколько возможностей, характерных для современных штаммов, таких как:
Сбор информации о системе
Создание постоянства с помощью RUN key
Обход контроля учетных записей (UAC)
Отключение Защитника Windows
Отключение телеметрии Windows
Активация мер защиты от отключения
Активация anti-kill мер
Размонтирование виртуальных дисков
Завершение процессов и сервисов
Отключение спящего режима и выключение системы
Удаление индикаторов
Запрет восстановления системы
Уничтожение процессов и служб направлено на то, чтобы отключить меры защиты и освободить важные данные, такие как файлы базы данных, сделав их доступными для шифрования.
Злоупотребление Everything
Everything — это название популярной системы поиска файлов для Windows, разработанной Voidtools. Утилита легкая и быстрая, использует минимальные системные ресурсы и поддерживает обновления в реальном времени.
Mimic Ransomware использует возможности поиска Everything в виде «Everything32.dll», сброшенного на этапе заражения, для запроса конкретных имен файлов и расширений в скомпрометированной системе.
Everything помогает Mimic находить файлы, подходящие для шифрования, избегая при этом системных файлов, которые могут привести к невозможности загрузки системы в случае блокировки.
Mimic — это новый штамм с еще непроверенной активностью, но использование Conti Builder и Everything API доказывает, что его авторы — компетентные разработчики программного обеспечения, которые имеют четкое представление о том, как они могут достичь своих целей.
LockBit Green использует новый шифровальщик на основе Conti
LockBit начал использовать шифраторы, основанные на других вариантах ransomware, на этот раз переключившись на шифровальщик, основанный на утечке исходного кода программы-вымогателя Conti.
С момента своего запуска LockBit претерпела множество итераций своего шифровальщика, начиная с пользовательского и заканчивая LockBit 3.0 (он же LockBit Black), который получен из исходного кода BlackMatter.
На этой неделе группа кибербезопасности VX-Underground впервые сообщила, что Lockbit теперь использует новый шифровальщик под названием «LockBit Green», основанный на утечке исходного кода Conti.
Conti закрылась после серии досадных утечек данных, вызванных утечкой 170 000 внутренних сообщений и исходного кода их шифровальщика.
Вскоре после утечки исходного кода другие хакерские группы начали использовать его для создания собственных шифровальщиков.
Смотрим на LockBit Green
С тех пор, как новости о LockBit Green стали достоянием общественности, исследователи обнаружили образцы нового шифровальщика, циркулирующие на VirusTotal и других сайтах, распространяющих вредоносное ПО.
Аналитик вредоносного ПО, известный как CyberGeeksTech, перепроектировал образец LockBit Green и сообщил, что он определенно основан на шифровщике Conti, который они ранее анализировали.
«Я проанализировал образец, и он на 100% основан на исходном коде Conti», — сказал исследователь.
«Алгоритм дешифрования — это просто пример сходства. Странно, что они решили построить полезную нагрузку на основе Conti, у них есть собственный шифратор».
Фирма по кибербезопасности PRODAFT также поделилась четырьмя хэшами MD5 найденных ими образцов LockBit Green, включая правило Yara, которое может обнаруживать новый вариант.
PRODAFT сообщил, что им известно как минимум о пяти жертвах, которые подверглись атаке с использованием нового варианта LockBit Green.
BleepingComputer протестировал один из образцов, предоставленных PRODAFT, который использует те же аргументы командной строки, что и предыдущие шифраторы Conti.
Примечания о выкупе были изменены, чтобы использовать примечание о выкупе LockBit 3.0, а не формат Conti, как показано ниже.
Однако одно изменение, которое мы заметили, заключается в том, что LockBit Green использует то, что кажется случайным расширением, а не стандартным расширением .lockbit.
Linux-версия Royal Ransomware нацелена на серверы VMware ESXi
Royal Ransomware — это новейшая операция программы-вымогателя, которая добавляет поддержку шифрования устройств Linux к своим последним вариантам вредоносного ПО, специально нацеленным на виртуальные машины VMware ESXi.
BleepingComputer сообщает об аналогичных программах-шифровальщиках для Linux, выпущенных несколькими другими группами, включая
Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX и Hive.
Новый вариант Linux Royal Ransomware был обнаружен Уиллом Томасом из Центра анализа угроз Equinix (ETAC) и выполняется с помощью командной строки.
Он также поставляется с поддержкой нескольких флагов, которые дадут операторам программ-вымогателей некоторый контроль над процессом шифрования:
-stopvm > останавливает все работающие виртуальные машины, чтобы их можно было зашифровать
-vmonly — шифровать только виртуальные машины
-fork - неизвестно
-logs - неизвестно
-id: идентификатор должен состоять из 32 символов
При шифровании файлов программа-вымогатель добавит расширение .royal_u ко всем зашифрованным файлам на виртуальной машине.
В то время как у решений для защиты от вредоносных программ были проблемы с обнаружением образцов Royal Ransomware, которые объединяют новые возможности таргетинга, теперь они обнаруживаются 23 из 62 модулей сканирования вредоносных программ на VirusTotal.
Кто такие Royal Ransomware?
Royal Ransomware — это частная операция, состоящая из опытных злоумышленников, которые ранее работали с программой-вымогателем Conti.
Начиная с сентября, Роял активизировал вредоносную деятельность через несколько месяцев после того, как его впервые заметили в январе 2022 года.
Хотя изначально они использовали шифраторы из других операций, таких как BlackCat, они перешли на использование своих собственных, начиная с Zeon, который оставлял заметки о выкупе, аналогичные тем, которые были созданы Conti.
В середине сентября группа была переименована в «Royal» и начала развертывать новый шифровальщик в атаках, который создает заметки с требованием выкупа с тем же именем.
Злоумышленники требуют выкуп в размере от 250 000 до десятков миллионов долларов после шифрования корпоративных сетевых систем своих целей.
В декабре Министерство здравоохранения и социальных служб США (HHS) предупредило об атаках программ-вымогателей Royal, нацеленных на организации в секторе здравоохранения и общественного здравоохранения (HPH).
Большинство штаммов программ-вымогателей теперь также нацелены на Linux
Сдвиг групп вымогателей в сторону виртуальных машин ESXi согласуется с тенденцией, когда предприятия переходят на виртуальные машины, поскольку они обеспечивают улучшенное управление устройствами и гораздо более эффективную обработку ресурсов.
После развертывания своих полезных нагрузок на хостах ESXi операторы программ-вымогателей используют одну команду для шифрования нескольких серверов.
«Причина, по которой большинство групп вымогателей внедряют версии своих программ-вымогателей на базе Linux, заключается в том, что они нацелены именно на ESXi», — сказал Wosar в прошлом году.
Согласно отчету Lansweeper, десятки тысяч серверов VMware ESXi, размещенных в Интернете, в октябре подошли к концу.
Отныне эти системы будут получать только техническую поддержку, но не будут получать обновления безопасности, что делает их уязвимыми для атак программ-вымогателей.
Чтобы представить ситуацию в перспективе и показать, насколько подвержены атакам такие серверы, в эту пятницу для сканирования и шифрования неисправленных серверов в масштабной кампании, нацеленной на устройства ESXi по всему миру, был использован новый штамм программы-вымогателя, известный как ESXiArgs.
По данным поиска Shodan, всего за несколько часов в результате этих атак было скомпрометировано более 100 серверов по всему миру.
Комментарии
Кибергруппы поднимает вымогательство на новый уровень, публично взламывая корпоративные веб-сайты, чтобы публично демонстрировать заметки о выкупе.
Эта новая стратегия вымогательства осуществляется Industrial Spy, которая недавно начала использовать программы-вымогатели как часть своих атак.
В рамках своих атак Industrial Spy будет взламывать сети, красть данные и развертывать программы-вымогатели на устройствах. Затем злоумышленники угрожают продать украденные данные на своей торговой площадке Tor, если выкуп не будет выплачен.
Дефейс веб-сайтов как часть вымогательства данных
Сегодня Industrial Spy начала продавать данные, которые, как они утверждают, были украдены у французской компании SATT Sud-Est, за 500 000 долларов.
https://www.bleepingcomputer.com/news/security/ransomware-gang-now-hacks-corporate-websites-to-show-ransom-notes/
Black Basta — это последняя группа программ-вымогателей, которая добавила поддержку шифрования виртуальных машин (ВМ) VMware ESXi, работающих на корпоративных серверах Linux.
Большинство групп вымогателей в настоящее время сосредотачивают свои атаки на виртуальных машинах ESXi, поскольку эта тактика согласуется с их корпоративной направленностью. Это также позволяет использовать более быстрое шифрование нескольких серверов с помощью одной команды.
Шифрование виртуальных машин имеет смысл, так как многие компании недавно перешли на виртуальные машины, поскольку они упрощают управление устройствами и намного более эффективно используют ресурсы.
Еще одна кибергруппа нацелена на серверы ESXi
В новом отчете аналитики Uptycs Threat Research сообщили, что они обнаружили новые двоичные файлы программы-вымогателя Black Basta, специально предназначенные для серверов VMWare ESXi.
Шифровальщики программ-вымогателей для Linux не являются чем-то новым, и ранее уже известно об аналогичных шифраторах, выпущенных несколькими группами, включая
Как и другие шифровальщики Linux, двоичный файл программы-вымогателя Black Basta будет искать /vmfs/volumes, где хранятся виртуальные машины на скомпрометированных серверах ESXi (если такие папки не найдены, программа-вымогатель завершает работу).
BleepingComputer не смог найти аргументы командной строки для выбора других путей для шифрования, предполагая, что этот шифратор специально разработан для работы только с серверами ESXi.
Программа-вымогатель использует алгоритм ChaCha20 для шифрования файлов. Он также использует преимущества многопоточности для использования нескольких процессоров и ускорения процесса шифрования.
При шифровании программа-вымогатель добавит расширение .basta к именам зашифрованных файлов и создаст заметки о выкупе с именем readme.txt в каждой папке.
«Впервые Black Basta был замечен в этом году в апреле месяце, когда его варианты были нацелены на системы Windows», — сообщили Siddharth Sharma и Nischay Hegde из Uptcys.
«Основываясь на ссылке поддержки в чате и расширении зашифрованного файла, мы считаем, что за этой кампанией стоят те же участники, которые ранее атаковали системы Windows с помощью программы-вымогателя Black Basta».
Активен с апреля
Программа-вымогатель Black Basta была впервые обнаружена в дикой природе во вторую неделю апреля, когда операция быстро увеличила количество атак, нацеленных на компании по всему миру.
Несмотря на то, что требования банды о выкупе, вероятно, различаются между жертвами, известно, по крайней мере, об одном, кто получил требование на сумму более 2 миллионов долларов за дешифратор и предотвращение утечки его данных в Интернет.
Хотя о новой группе мало что известно, скорее всего, это не новая операция, а скорее ребрендинг из-за их продемонстрированной способности быстро взломать новых жертв и стиля ведения переговоров (возможно, ребрендинг операции вымогателей Conti).
Технический директор Emsisoft Fabian Wosar ранее сообщил, что другие кибергруппы (помимо тех, о которых мы сообщали), включая , также разработали и использовали свои собственные шифраторы для Linux.
«Причина, по которой большинство групп вымогателей внедрили версии своих программ-вымогателей на базе Linux, заключается в том, что они нацелены именно на ESXi», — пояснил Wosar.
https://www.bleepingcomputer.com/news/security/linux-version-of-black-basta-ransomware-targets-vmware-esxi-servers/
ALPHV, также известная как BlackCat, вывела вымогательство на новый уровень, создав специальный веб-сайт, который позволяет клиентам и сотрудникам их жертв проверить, не были ли их данные украдены в результате атаки.
Когда группы вымогателей проводят атаки, они незаметно крадут корпоративные данные. Собрав все ценное, злоумышленник начинает шифровать устройства.
Затем украденные данные используются в схемах двойного вымогательства, когда хакеры требуют выкуп за доставку дешифратора и предотвращение публичного раскрытия корпоративных данных.
Чтобы заставить жертв заплатить, кибергруппы создают сайты утечки данных, где они медленно раскрывают части украденных данных или отправляют клиентам и сотрудникам электронные письма с предупреждением о том, что их информация была украдена.
Однако эти методы вымогательства не всегда работают, и компании просто решают не платить, даже если их корпоративные данные, данные сотрудников и клиентов находятся под угрозой утечки.
По этой причине кибергруппы постоянно совершенствуют свою тактику, чтобы оказывать дополнительное давление на жертв.
Вымогательство на новый уровень
Сегодня AlphV/BlackCat начала публиковать предположительно украденные данные, которые, как они утверждают, были украдены из отеля и спа-салона в Орегоне.
В рамках этой атаки AlphV утверждает, что украла 112 ГБ данных, включая информацию о сотрудниках, такую как номера социального страхования, для 1500 сотрудников.
Однако вместо того, чтобы просто слить данные на своем обычном сайте утечки данных Tor, AlphV пошла еще дальше и создала специальный веб-сайт, позволяющий сотрудникам и клиентам проверять, не были ли их данные украдены во время атаки на отель.
Используя этот сайт, сотрудники, клиенты или кто-либо в этом отношении может просматривать информацию о постояльцах отеля и их пребывании или личные данные 1534 сотрудников.
В то время как данные о гостях клиентов содержат только имена, дату прибытия и стоимость проживания, данные сотрудников включают чрезвычайно конфиденциальную информацию, такую как имена, номера социального страхования, дату рождения, номера телефонов и адреса электронной почты.
Злоумышленники даже дошли до того, что создали «пакеты данных» для каждого сотрудника, содержащие файлы, связанные с работой этого человека в отеле.
Поскольку этот сайт размещен в открытой сети, то есть в общедоступном Интернете, он индексируется поисковыми системами, и раскрытая информация, вероятно, будет добавлена в результаты поиска, что может еще больше усугубить ситуацию для жертв.
Инновация или пустая трата времени?
Цель этого сайта ясна: напугать сотрудников и гостей, чтобы они потребовали от отеля удалить их данные из Интернета, что можно сделать только заплатив выкуп.
Аналитик по безопасности Emisosft Бретт Кэллоу, который обнаружил эту новую стратегию вымогательства и сказал, что, хотя тактика является инновационной, еще слишком рано говорить о том, окупится ли она.
«Alphv, несомненно, надеется, что эта тактика повысит вероятность того, что они будут монетизировать атаки. Если компании будут знать, что информация, касающаяся их клиентов и сотрудников, будет обнародована таким образом, они могут быть более склонны заплатить требование, чтобы предотвратить это. происходит — и чтобы избежать возможных коллективных исков», — сказал Кэллоу.
«Несмотря на то, что это инновационный подход, еще неизвестно, будет ли эта стратегия успешной — и, конечно же, это определит, станет ли она более распространенной».
AlphV считается ребрендингом банды DarkSide/BlackMatter, ответственной за атаку на Colonial Pipeline, которая привлекла внимание средств массовой информации к этим хакерским группам и привлекла все внимание международных правоохранительных органов и правительства США.
Эта кибергруппа всегда считалась одной из лучших операций по вымогательству. Тем не менее, они также известны своими ошибками и сумасшедшими идеями, которые доставляют им неприятности.
Настройка этого веб-сайта с пакетами данных отдельных сотрудников определенно отнимала много времени у злоумышленников. Нам придется подождать и посмотреть, окупятся ли усилия.
https://www.bleepingcomputer.com/news/security/ransomware-gang-creates-site-for-employees-to-search-for-their-stolen-data/
Исследователи безопасности назвали хакерскую кампанию ARMattack и назвали ее одной из «самых продуктивных» и «чрезвычайно эффективных».
Молниеносная кампания ARMattack
В отчете, предоставленном BleepingComputer, исследователи из компании Group-IB, занимающейся кибербезопасностью, говорят, что одна из «самых продуктивных кампаний» Conti была проведена в прошлом году с 17 ноября по 20 декабря 2021 года.
В ходе кампании аффилированным лицам Conti удалось скомпрометировать более 40 организаций в различных сферах деятельности, работающих в разных регионах, но с упором на компании, базирующиеся в США.
Согласно данным Group-IB, самая короткая успешная атака Conti длилась всего три дня с момента первоначального доступа до шифрования систем организации.
«Получив доступ к инфраструктуре компании, злоумышленники извлекают определенные документы (чаще всего, чтобы определить, с какой организацией они имеют дело) и ищут файлы, содержащие пароли (как открытые, так и зашифрованные). Наконец, получив все необходимые привилегии и получив доступ ко всем интересующим их устройствам, хакеры внедряют программу-вымогатель на все устройства и запускают ее», — Group-IB
В настоящее время Conti входит в тройку крупнейших групп вымогателей по частоте атак, уступив в этом году второе место после LockBit, согласно данным, собранным за первый квартал 2022 года.
Первые атаки программ-вымогателей Conti, о которых стало известно BleepingComputer, датируются концом декабря 2019 года. По данным Group-IB, первоначальные тестовые версии вредоносного ПО были отслежены до ноября 2019 года.
Несмотря на недавние утечки чата и исходного кода, Conti продолжает вести прибыльный бизнес, который почти не подает признаков краха.
Группа постоянно расширяла свою деятельность, работая с другими операторами программ-вымогателей (HelloKitty, AvosLocker, Hive, BlackCat, BlackByte, LockBit) и приобретая киберпреступные операции, такие как TrickBot.
https://www.bleepingcomputer.com/news/security/conti-ransomware-hacking-spree-breaches-over-40-orgs-in-a-month/
Партнеры программы-вымогателя LockBit используют интересный трюк, чтобы заставить людей заражать свои устройства, маскируя свое вредоносное ПО под заявлениями об авторских правах.
Получателей этих писем предупреждают о нарушении авторских прав, предположительно об использовании медиафайлов без лицензии создателя. Эти электронные письма требуют, чтобы получатель удалил контент, нарушающий авторские права, со своих веб-сайтов, иначе он будет привлечен к судебной ответственности.
Электронные письма, обнаруженные аналитиками из AhnLab, Корея, не определяют, какие файлы были несправедливо использованы в теле письма, а вместо этого предлагают получателю загрузить и открыть вложенный файл, чтобы увидеть содержание нарушения.
Вложение представляет собой защищенный паролем ZIP-архив, содержащий сжатый файл, который, в свою очередь, имеет исполняемый файл, замаскированный под PDF-документ, но на самом деле являющийся установщиком NSIS.
Причина для этой оболочки и защиты паролем состоит в том, чтобы избежать обнаружения инструментами безопасности электронной почты.
Если жертва откроет предполагаемый «PDF», чтобы узнать, какие изображения используются незаконно, вредоносное ПО загрузит и зашифрует устройство с помощью программы-вымогателя LockBit 2.0.
Заявления о нарушении авторских прав и вредоносное ПО
Хотя использование заявлений о нарушении авторских прав интересно, оно не является чем-то новым или исключительным для членов LockBit, поскольку многие кампании по распространению вредоносных программ используют ту же приманку.
https://www.bleepingcomputer.com/news/security/fake-copyright-infringement-emails-install-lockbit-ransomware/
LockBit Ransomware выпустил «LockBit 3.0», в котором представлена первая программа вознаграждения за ошибки программ-вымогателей, а также раскрыты новые тактики вымогательства и способы оплаты криптовалютой Zcash.
Операция по борьбе с программами-вымогателями была запущена в 2019 году и с тех пор стала самой результативной операцией по борьбе с программами-вымогателями, на которую приходится 40% всех известных атак программ-вымогателей в мае 2022 года.
На выходных кибергруппа выпустила обновленную операцию «программа-вымогатель как услуга» (RaaS) под названием LockBit 3.0 после бета-тестирования в течение последних двух месяцев, при этом новая версия уже использовалась в атаках.
Хотя неясно, какие технические изменения были внесены в шифровальщик, заметки о выкупе больше не называются «Restore-My-Files.txt», а вместо этого перешли в формат именования [id].README.txt, как показано ниже.
Программа поощрения ошибок LockBit 3.0
С выпуском LockBit 3.0 операция представила первую программу вознаграждения за обнаружение ошибок, предлагаемую кибергруппой, которая просит исследователей безопасности отправлять отчеты об ошибках в обмен на вознаграждение в размере от 1000 до 1 миллиона долларов.
«Мы приглашаем всех исследователей безопасности, этичных и неэтичных хакеров на планете принять участие в нашей программе вознаграждения за обнаружение ошибок. Сумма вознаграждения варьируется от 1000 до 1 миллиона долларов», — говорится на странице вознаграждения за обнаружение ошибок LockBit 3.0.
Тем не менее, эта программа вознаграждения за обнаружение ошибок немного отличается от тех, которые обычно используются законными компаниями, поскольку во многих странах помощь преступному предприятию является незаконной.
Кроме того, LockBit не только предлагает вознаграждение за уязвимости, но также выплачивает вознаграждение за «блестящие идеи» по улучшению работы программ-вымогателей и за доксинг менеджера партнерской программы.
Ниже приведены различные категории наград за ошибки, предлагаемые операцией LockBit 3.0:
Вознаграждение в размере 1 000 000 долларов США за идентификацию менеджера филиала, известного как LockBitSupp, ранее предлагалось на хакерском форуме XSS в апреле.
Предстоящий способ оплаты ZCash?
При открытии сайтов Tor для переговоров LockBit 3.0 и сайтов утечки данных посетителям предоставляется анимированный логотип с вращающимися вокруг него различными значками криптовалюты.
Значки криптовалюты, показанные на этой анимации, — это Monero и Bitcoin, которые в прошлом принимались в качестве выкупа, но также включает монету конфиденциальности, известную как Zcash.
Добавление Zcash в качестве способа оплаты неудивительно для программы-вымогателя.
Компании по отслеживанию криптовалюты и аресты правоохранительных органов неоднократно показывали, что Биткойн можно отследить, и, хотя Monero является монетой конфиденциальности, подавляющее большинство криптобирж США не предлагает ее для продажи.
Zcash также является монетой конфиденциальности, что затрудняет отслеживание. Тем не менее, в настоящее время он выставлен на продажу на самой популярной в США криптовалютной бирже Coinbase, что облегчает жертвам покупку для получения выкупа.
Однако, если операции с программами-вымогателями перейдут на прием платежей в этой монете, мы, вероятно, увидим, что она будет удалена с бирж США из-за давления со стороны правительства США.
LockBit продает украденные данные жертвы?
Валерий Мархив из LeMagIT обнаружил, что операция LockBit 3.0 использует новую модель вымогательства, позволяющую злоумышленникам покупать данные, украденные во время атак.
Один из файлов JavaScript, используемых новым сайтом утечки данных LockBit 3.0, показывает новое модальное диалоговое окно HTML, которое позволяет людям приобретать данные, украденные на сайте.
Как вы можете видеть ниже, модальные окна предложат возможность купить данные и скачать их либо через торрент, либо прямо на сайте. Доступные параметры могут быть определены в зависимости от размера украденных данных, при этом торренты используются для больших дампов данных и прямой загрузки для меньших объемов.
Поскольку на сайте утечки данных LockBit 3.0 в настоящее время нет жертв, неясно, как будет работать эта новая тактика вымогательства и будет ли она вообще включена.
LockBit — одна из самых активных операций с программами-вымогателями, а ее общедоступный оператор активно взаимодействует с другими субъектами угроз и сообществом кибербезопасности.
Из-за постоянного внедрения новых тактик, технологий и способов оплаты специалистам по безопасности и сетям жизненно важно быть в курсе развития операций.
https://www.bleepingcomputer.com/news/security/lockbit-30-introduces-the-first-ransomware-bug-bounty-program/
Новая операция программы-вымогателя под названием RedAlert или N13V шифрует серверы Windows и Linux VMWare ESXi при атаках на корпоративные сети.
Новая операция была обнаружена сегодня MalwareHunterTeam, которая разместила в Твиттере различные изображения сайта утечки данных банды.
Программа-вымогатель получила название RedAlert на основе строки, использованной в записке с требованием выкупа. Однако из шифровальщика Linux, полученного BleepingComputer, злоумышленники называют свою операцию «N13V», как показано ниже.
Шифровальщик Linux создан для серверов VMware ESXi с параметрами командной строки, которые позволяют злоумышленникам выключать любые работающие виртуальные машины перед шифрованием файлов.
Полный список параметров командной строки можно увидеть ниже.
При запуске программы-вымогателя с аргументом «-w» шифровальщик Linux выключит все работающие виртуальные машины VMware ESXi с помощью следующей команды esxcli:
При шифровании файлов программа-вымогатель использует алгоритм шифрования с открытым ключом NTRUEncrypt, который поддерживает различные «наборы параметров», обеспечивающие разные уровни безопасности.
Интересной особенностью RedAlert/N13V является параметр командной строки «-x», который выполняет «тестирование производительности асимметричного шифрования» с использованием этих различных наборов параметров NTRUEncrypt. Однако неясно, есть ли способ принудительно установить определенный параметр при шифровании и/или программа-вымогатель выберет более эффективный.
Единственная известная операция с программами-вымогателями, использующая этот алгоритм шифрования, — FiveHands.
При шифровании файлов программа-вымогатель будет нацелена только на файлы, связанные с виртуальными машинами VMware ESXi, включая файлы журналов, файлы подкачки, виртуальные диски и файлы памяти, как указано ниже.
В образце, проанализированном BleepingComputer, программа-вымогатель шифровала эти типы файлов и добавляла расширение .crypt658 к именам зашифрованных файлов.
В каждой папке программа-вымогатель также создаст пользовательскую заметку о выкупе с именем HOW_TO_RESTORE, содержащую описание украденных данных и ссылку на уникальный сайт оплаты выкупа TOR для жертвы.
Платежный сайт Tor похож на другие сайты операций с программами-вымогателями, поскольку он отображает требование о выкупе и предоставляет возможность вести переговоры с злоумышленниками.
Однако RedAlert/N13V принимает к оплате только криптовалюту Monero, которая обычно не продается на криптобиржах США, потому что это монета конфиденциальности.
Хотя был найден только шифровальщик Linux, на платежном сайте есть скрытые элементы, показывающие, что дешифраторы Windows также существуют.
Как и почти все новые операции с программами-вымогателями, нацеленными на предприятия, RedAlert проводит атаки с двойным вымогательством, когда данные крадут, а затем программа-вымогатель развертывается для шифрования устройств.
Эта тактика предусматривает два метода вымогательства, позволяя злоумышленникам не только требовать выкуп за дешифратор, но и требовать его для предотвращения утечки украденных данных.
Когда жертва не платит выкуп, банда RedAlert публикует украденные данные на своем сайте утечки данных, который может скачать любой желающий.
В настоящее время сайт утечки данных RedAlert содержит данные только для одной организации, что указывает на то, что операция очень новая.
Хотя с новой операцией по вымогательству N13V/RedAlert не было большой активности, нам обязательно нужно будет следить за ней из-за ее расширенной функциональности и непосредственной поддержки как Linux, так и Windows.
https://www.bleepingcomputer.com/news/security/new-redalert-ransomware-targets-windows-linux-vmware-esxi-servers/
Хакерские группы и операции по вымогательству переходят от Cobalt Strike к более новому набору инструментов постэксплуатации Brute Ratel, чтобы избежать обнаружения EDR и антивирусными решениями.
Команды корпоративной кибербезопасности обычно состоят из сотрудников, которые пытаются взломать корпоративные сети (красная команда), и тех, кто активно защищается от них (синяя команда). Затем обе команды обмениваются заметками после мероприятий по укреплению защиты сети от кибербезопасности.
В течение многих лет одним из самых популярных инструментов в битвах с красными командами был Cobalt Strike, набор инструментов, позволяющий злоумышленникам развертывать «маяки» на скомпрометированных устройствах для удаленного наблюдения за сетью или выполнения команд.
Хотя Cobalt Strike является законным программным обеспечением, злоумышленники распространяют взломанные версии в Интернете, что делает его одним из самых популярных инструментов, используемых хакерами и программами-вымогателями для бокового распространения через взломанные корпоративные сети.
Хакеры переходят на Brute Ratel
В 2020 году Четан Наяк, бывший член красной команды в Mandiant и CrowdStrike, выпустил Brute Ratel Command and Control Center (BRc4) в качестве альтернативы Cobalt Strike для тестирования красной команды на проникновение.
Как и Cobalt Strike, Brute Ratel — это инструмент моделирования состязательной атаки, который позволяет красным командам развертывать «барсуков» (похожих на маяки в Cobalt Strike) на удаленных хостах. Эти барсуки подключаются к серверу управления и контроля злоумышленника, чтобы получать команды для выполнения или передачи результатов ранее запущенных команд.
В новом отчете Palo Alto Unit 42 исследователи заметили, что злоумышленники переходят от Cobalt Strike к использованию Brute Ratel в качестве предпочтительного набора инструментов для пост-эксплуатации.
Это изменение в тактике имеет большое значение, поскольку BRc4 предназначен для того, чтобы избежать обнаружения EDR и антивирусными решениями, и почти все программы безопасности не определяют его как вредоносное при первом обнаружении в дикой природе.
«Хотя этой возможности удалось остаться в тени и она остается менее известной, чем ее собратья Cobalt Strike, она не менее сложна», — поясняется в отчете Unit 42.
«Наоборот, этот инструмент уникально опасен, поскольку он был специально разработан, чтобы избежать обнаружения с помощью средств обнаружения и реагирования на конечных точках (EDR) и антивирусных (AV) возможностей. Вирус Тотал».
В ходе атак злоумышленники распространяют вредоносные ISO-образы, предположительно содержащие отправленное резюме (CV).
В настоящее время Brute Ratel стоит 2500 долларов США за пользователя за годовую лицензию, при этом клиенты должны предоставить рабочий адрес электронной почты и пройти проверку перед выдачей лицензии.
«Но из-за характера программного обеспечения мы продаем продукт только зарегистрированным компаниям и частным лицам с официальным рабочим адресом электронной почты / доменом после проверки бизнеса и истории работы человека», — поясняется на странице цен Brute Ratel.
Поскольку это ручной процесс проверки, возникает вопрос о том, как злоумышленники получают лицензии на программное обеспечение.
Разработчик Brute Ratel Четан Наяк сообщил BleepingComputer, что лицензия, использованная в атаках, о которых сообщила Unit 42, была слита недовольным сотрудником одного из его клиентов.
Поскольку полезные нагрузки позволяют Наяку видеть, кому они принадлежат, он смог идентифицировать и отозвать лицензию.
Однако, по словам генерального директора AdvIntel Виталия Кремеза, бывшие участники программы-вымогателя Conti также начали приобретать лицензии, создавая поддельные американские компании для прохождения системы проверки лицензий.
«Преступники, стоящие за прежними операциями Conti по вымогательству, исследовали несколько наборов для тестирования на проникновение, помимо использования Cobalt Strike», — сказал Кремез в разговоре с BleepingComputer.
«В одном конкретном случае они получили доступ к набору Brute Ratel, который использовался для пост-эксплуатации в целевых атаках из загрузчика BumbleBee. Конечной целью использования Brute Ratel была пост-эксплуатационная структура для бокового перемещения и последующего шифрования сети через полезная нагрузка программы-вымогателя».
«Чтобы получить доступ к лицензиям Brute Ratel, злоумышленники создают поддельные американские компании, которые используются в процессе проверки».
https://www.bleepingcomputer.com/news/security/ransomware-hacking-groups-move-from-cobalt-strike-to-brute-ratel/
Две группы приняли новую стратегию, чтобы заставить компании-жертвы платить злоумышленникам за то, чтобы они не разглашали украденные данные.
Новая тактика заключается в добавлении функции поиска на сайте утечки, чтобы упростить поиск жертв или даже конкретных деталей.
По крайней мере, две группы недавно приняли эту стратегию, и, вероятно, другие злоумышленники сделают то же самое.
Простой поиск данных жертв
На прошлой неделе группа ALPHV/BlackCat объявила, что они создали доступную для поиска базу данных с утечками от неплатящих жертв.
Хакеры дали понять, что репозитории проиндексированы и поиск работает при поиске информации по имени файла или по содержимому, доступному в документах и изображениях.
Результаты берутся из раздела «Коллекции» сайта утечки BlackCat и могут быть не самыми точными, но это все же эволюция стратегии киберпреступника по вымогательству.
BlackCat утверждают, что делают это для того, чтобы другим киберпреступникам было проще подобрать пароли или конфиденциальную информацию о компаниях.
LockBit предлагает переработанную версию своего сайта утечки данных, которая позволяет искать компании-жертвы из списка.
Еще один сайт утечки, на котором реализована функция поиска, — сайт, опубликованный группой «Каракурт».
https://www.bleepingcomputer.com/news/security/ransomware-gang-now-lets-you-search-their-stolen-data/
Новое семейство программ-вымогателей, получившее название Luna, может использоваться для шифрования устройств, работающих под управлением нескольких операционных систем, включая системы Windows, Linux и ESXi.
Вымогатели Luna, обнаруженные исследователями безопасности «Лаборатории Касперского» через рекламу на форуме Dark Web, обнаруженную системой активного мониторинга Darknet Threat Intelligence, похоже, специально адаптированы для использования только русскоязычными злоумышленниками.
Luna (по-русски — луна) — это очень простая программа, которая все еще находится в стадии разработки и имеет ограниченные возможности, основанные на доступных параметрах командной строки.
Однако он использует не очень распространенную схему шифрования, сочетающую быстрый и безопасный обмен ключами Диффи-Хеллмана на эллиптической кривой X25519 с использованием Curve25519 с алгоритмом симметричного шифрования Advanced Encryption Standard (AES).
Кроссплатформенная программа-вымогатель на основе Rust
Группа, стоящая за этим новым вымогателем, разработала этот новый штамм на Rust и воспользовалась его платформо-независимой природой, чтобы перенести его на несколько платформ с очень небольшими изменениями в исходном коде.
Использование кроссплатформенного языка также позволяет программе-вымогателю Luna уклоняться от попыток автоматического статического анализа кода.
«Образцы для Linux и ESXi скомпилированы с использованием одного и того же исходного кода с некоторыми незначительными изменениями по сравнению с версией для Windows. Остальной код не имеет существенных изменений по сравнению с версией для Windows», — добавили исследователи.
Луна также подтверждает последнюю тенденцию, принятую кибергруппами, разрабатывающими кросс-платформенные программы-вымогатели, использующие такие языки, как Rust и Golang, для создания вредоносных программ, способных атаковать несколько операционных систем практически без изменений.
Касперский говорит, что очень мало данных о том, какие жертвы были зашифрованы с помощью программы-вымогателя Luna, если таковые имеются, учитывая, что группа была только что обнаружена и ее активность все еще отслеживается.
https://www.bleepingcomputer.com/news/security/new-luna-ransomware-encrypts-windows-linux-and-esxi-systems/
Итальянские власти расследуют заявления LockBit о том, что они взломали сеть итальянской налоговой службы (L'Agenzia delle Entrate).
LockBit утверждает, что они украли 100 ГБ данных (включая документы компании, сканы, финансовые отчеты и контракты), которые будут просочены в Интернет, если итальянское налоговое агентство не заплатит требование о выкупе до 1 августа.
Итальянское налоговое агентство опубликовало на своем веб-сайте официальное заявление о «предполагаемой краже данных из налоговой информационной системы», в котором говорится, что оно запросило дополнительную информацию у Sogei (Società Generale d'Informatica) SpA, публичной компании Министерства экономики и финансов. который управляет технологической инфраструктурой финансовой администрации.
«Из проведенных технических расследований Sogei исключает возможность кибератаки на веб-сайт агентства», — говорится в сообщении агентства.
Sogei SpA также управляет ИТ-инфраструктурой, используемой другими итальянскими ведомствами, в том числе министерствами юстиции, внутренних дел и образования, генеральным прокурором штата и министерством финансов.
Представитель Sogei сообщил что «кибератак на технологические платформы и инфраструктуру финансового управления нет», добавив, что «невозможно предоставить дополнительные подробности, поскольку расследование продолжается».
Компания также поделилась официальным заявлением на своем веб-сайте, в котором говорится, что она не нашла доказательств кибератаки, затронувшей итальянское налоговое агентство.
«Что касается предполагаемой кибератаки на налоговую информационную систему, Sogei spa сообщает, что с момента первого проведенного анализа не было никаких кибератак и не было кражи данных с платформ и технологических инфраструктур Финансового управления», — говорится в сообщении публичной компании.
«Поэтому из проведенных технических расследований Sogei исключает кибератаку на сайт Агентства по доходам».
Sogei SpA добавила, что в настоящее время сотрудничает и поддерживает совместное расследование, которое координируется Национальным агентством кибербезопасности Италии и почтовой полицией.
LockBit впервые появилась в сентябре 2019 года как программа-вымогатель как услуга (RaaS) и была перезапущена как LockBit 2.0 RaaS в июне 2021 года после того, как группам вымогателей запретили размещать сообщения на форумах по киберпреступности.
В феврале ФБР выпустило экстренное предупреждение с индикаторами компрометации, связанной с атаками программ-вымогателей LockBit (на которые приходится 40% всех известных атак программ-вымогателей в мае 2022 года), с просьбой к организациям, на которые нацелены филиалы этого RaaS, срочно сообщать о любых инцидентах.
В прошлом месяце LockBit выпустила «LockBit 3.0», представляя первую программу вознаграждения за обнаружение ошибок программ-вымогателей, новую тактику вымогательства и варианты оплаты в криптовалюте Zcash.
https://www.bleepingcomputer.com/news/security/lockbit-claims-ransomware-attack-on-italian-tax-agency/
Злоумышленники, связанные с LockBit 3.0, злоупотребляют инструментом командной строки Защитника Windows, чтобы загружать маяки Cobalt Strike на скомпрометированные системы и избегать обнаружения программным обеспечением безопасности.
Cobalt Strike — это легитимный набор для тестирования на проникновение с обширными функциями, популярными среди злоумышленников, для скрытой разведки сети и горизонтального перемещения перед тем, как украсть данные и зашифровать их.
Однако решения по обеспечению безопасности стали лучше обнаруживать маяки Cobalt Strike, что заставляет злоумышленников искать инновационные способы развертывания инструментария.
Первоначальная компрометация сети в обоих случаях была осуществлена путем использования уязвимости Log4j на уязвимых серверах VMWare Horizon для запуска кода PowerShell.
Неопубликованная загрузка маяков Cobalt Strike на скомпрометированные системы не является чем-то новым для LockBit, поскольку есть сообщения о подобных цепочках заражения, основанных на злоупотреблении утилитами командной строки VMware.
Злоупотребление Microsoft Defender
После установления доступа к целевой системе и получения необходимых пользовательских привилегий злоумышленники используют PowerShell для загрузки трех файлов: чистой копии утилиты Windows CL, файла DLL и файла журнала.
При выполнении MpCmdRun.exe загрузит законную DLL с именем «mpclient.dll», которая необходима для правильной работы программы.
Исполняемый код загружает и расшифровывает зашифрованную полезную нагрузку Cobalt Strike из файла «c0000015.log», установленного вместе с двумя другими файлами на более ранней стадии атаки.
Хотя неясно, почему дочерняя компания LockBit переключилась с VMware на инструменты командной строки Защитника Windows для боковой загрузки маяков Cobalt Strike, это может быть сделано для обхода целевых средств защиты, реализованных в ответ на предыдущий метод.
Использование легитимных инструментов для уклонения от обнаружения EDR и AV в наши дни чрезвычайно распространено; следовательно, организациям необходимо проверять свои средства управления безопасностью и проявлять бдительность, отслеживая использование законных исполняемых файлов, которые могут быть использованы злоумышленниками.
https://www.bleepingcomputer.com/news/security/lockbit-operator-abuses-windows-defender-to-load-cobalt-strike/
ALPHV, также известная как BlackCat, взяла на себя ответственность за кибератаку на Creos Luxembourg S.A. На прошлой неделе оператор газопровода и электросети в центральноевропейской стране.
Владелец Creos, Encevo, который работает в качестве поставщика энергии в пяти странах ЕС, объявил 25 июля, что они подверглись кибератаке в предыдущие выходные, между 22 и 23 июля.
Хотя кибератака привела к тому, что клиентские порталы Encevo и Creos стали недоступны, перерыва в предоставлении услуг не было.
28 июля компания опубликовала обновленную информацию о кибератаке, при этом первоначальные результаты их расследования показали, что сетевые злоумышленники украли «определенный объем данных» из систем, к которым был получен доступ.
На данный момент всем клиентам рекомендуется сбросить учетные данные своей онлайн-учетной записи, которые они использовали для взаимодействия с сервисами Encevo и Creos. Кроме того, если эти пароли одинаковы на других сайтах, клиенты также должны изменить свои пароли на этих сайтах.
BlackCat снова бьет по газу
В субботу группа вымогателей ALPHV/BlackCat добавила Creos на свой вымогательский сайт, угрожая опубликовать 180 000 украденных файлов общим размером 150 ГБ, включая контракты, соглашения, паспорта, счета и электронные письма.
Хотя точное время выполнения этой угрозы не было объявлено, хакеры пообещали, что раскрытие произойдет позже сегодня (в понедельник).
ALPHV/BlackCat недавно запустили новую платформу для вымогательства, на которой они делают украденные данные доступными для поиска посетителями с целью усилить давление на своих жертв, чтобы заставить их заплатить выкуп.
Считается, что BlackCat — это операция по ребрендингу DarkSide, которая была закрыта под давлением правоохранительных органов после широко разрекламированной атаки на Colonial Pipeline.
После закрытия DarkSide они переименовались в BlackMatter, чтобы уклониться от правоохранительных органов, но давление продолжалось, и группа снова закрылась.
С ноября 2021 года, когда субъекты угроз были перезапущены как BlackCat/ALPHV, субъекты угроз, как правило, избегают крупных американских целей и вместо этого нацеливаются на европейские организации, такие как австрийские государства, итальянские сети модной одежды и швейцарский поставщик услуг в аэропортах.
Однако похоже, что они не извлекли уроков из своих ошибок и продолжают атаковать критически важную инфраструктуру, такую как немецкая компания по поставке бензина Oiltanking в феврале, а теперь Creos Luxembourg.
https://www.bleepingcomputer.com/news/security/blackcat-ransomware-claims-attack-on-european-gas-pipeline/
Сегодня Cisco подтвердила, что группа программ-вымогателей Yanluowang взломала корпоративную сеть в конце мая и что злоумышленник пытался получить выкуп под угрозой утечки украденных файлов в Интернете.
Компания сообщила, что злоумышленники могли собирать и украсть неконфиденциальные данные только из папки Box, связанной со взломанной учетной записью сотрудника.
«В конце мая 2022 года в нашей корпоративной сети Cisco произошел инцидент, связанный с безопасностью, и мы немедленно приняли меры по сдерживанию и устранению злоумышленников», — сообщил BleepingComputer представитель Cisco.
«Cisco не выявила какого-либо воздействия на наш бизнес в результате этого инцидента, включая продукты или услуги Cisco, конфиденциальные данные клиентов или конфиденциальную информацию о сотрудниках, интеллектуальную собственность или операции цепочки поставок.
«10 августа злоумышленники опубликовали список файлов из этого инцидента безопасности в темной сети. Мы также приняли дополнительные меры для защиты наших систем и делимся техническими подробностями, чтобы помочь защитить более широкое сообщество безопасности».
Украденные учетные данные сотрудников использовались для взлома сети Cisco
Злоумышленники Yanluowang получили доступ к сети Cisco, используя украденные учетные данные сотрудника после взлома его личной учетной записи Google, содержащей учетные данные, синхронизированные с их браузером.
Злоумышленник убедил сотрудника Cisco принять push-уведомления многофакторной аутентификации (MFA) с помощью слабости MFA и серии голосовых фишинговых атак, инициированных Yanluowang, которая выдавала себя за доверенные организации поддержки.
Злоумышленники, наконец, обманом заставили жертву принять одно из уведомлений MFA и получить доступ к VPN в контексте целевого пользователя.
Как только они закрепились в корпоративной сети компании, операторы Yanluowang распространились на серверы и контроллеры домена Citrix.
«Они перешли в среду Citrix, скомпрометировав ряд серверов Citrix и в конечном итоге получили привилегированный доступ к контроллерам домена, — сказал Cisco Talos.
Получив права администратора домена, они использовали инструменты подсчета, такие как ntdsutil, adfind и secretsdump, для сбора дополнительной информации и установили ряд полезных нагрузок на скомпрометированные системы, включая бэкдор.
В конце концов, Cisco обнаружила и вытеснила их из своей среды, но они продолжали попытки восстановить доступ в течение следующих недель.
«После получения первоначального доступа злоумышленник предпринял ряд действий для сохранения доступа, сведения к минимуму криминалистических артефактов и повышения уровня доступа к системам в среде», — добавил Cisco Talos.
«Субъект угрозы был успешно удален из среды и проявлял настойчивость, неоднократно пытаясь восстановить доступ в течение нескольких недель после атаки, однако эти попытки не увенчались успехом».
Хакеры утверждают, что похитили данные Cisco
На прошлой неделе злоумышленник, стоящий за взломом Cisco, отправил BleepingComputer по электронной почте список файлов, предположительно украденных во время атаки.
Злоумышленник заявил, что похитил 2,75 ГБ данных, состоящих примерно из 3100 файлов. Многие из этих файлов представляют собой соглашения о неразглашении, дампы данных и технические чертежи.
Злоумышленники также отправили отредактированный документ о неразглашении информации, украденный во время атаки, в BleepingComputer в качестве доказательства атаки и «намека» на то, что они взломали сеть Cisco и удалили файлы.
Сегодня вымогатели объявили о взломе Cisco на своем сайте утечки данных и опубликовали список каталогов.
В системах Cisco не развернуты программы-вымогатели
Cisco также заявила, что, несмотря на то, что Yanluowang известна тем, что шифрует файлы своих жертв, она не обнаружила никаких доказательств полезной нагрузки программ-вымогателей во время атаки.
«Хотя мы не наблюдали развертывания программ-вымогателей в этой атаке, используемые TTP соответствовали «активности перед программами-вымогателями», обычно наблюдаемой активности, ведущей к развертыванию программ-вымогателей в средах-жертвах», — добавила Cisco Talos в отдельном сообщении в блоге, опубликованном на Среда.
«Мы оцениваем с умеренной или высокой степенью достоверности, что эта атака была проведена злоумышленником, который ранее был идентифицирован как посредник первоначального доступа (IAB) со связями с бандой киберпреступников UNC2447, группой злоумышленников Lapsus$ и операторами программ-вымогателей Yanluowang».
https://www.bleepingcomputer.com/news/security/cisco-hacked-by-yanluowang-ransomware-gang-28gb-allegedly-stolen/
https://blog.talosintelligence.com/2022/08/recent-cyber-attack.html
По крайней мере, три группы, отделившиеся от операции по борьбе с вымогателями Conti, приняли фишинговую тактику BazarCall в качестве основного метода получения начального доступа к сети жертвы.
Это позволяет злоумышленникам развертывать узконаправленные атаки, которые труднее обнаружить и остановить из-за компонента социальной инженерии.
Основы BazarCall
Метод BazarCall/BazaCall, также называемый фишингом с обратным вызовом, появился в начале 2021 года как вектор атаки, используемый программой-вымогателем Ryuk, которая позже была переименована в Conti.
Злоумышленники, использующие этот метод, нацелены на сотрудников, будь то из одной компании или всей отрасли, и соответствующим образом адаптируют фишинговые кампании для максимальной эффективности.
Атака BazarCall начинается с электронного письма, в котором сообщается, что подписка, за которую якобы платит получатель, будет автоматически продлена, а отменить платеж можно, позвонив по определенному номеру.
Жертвы, звонящие по указанному номеру телефона, достигают злоумышленника, разбирающегося в социальной инженерии, который убеждает звонящего начать сеанс удаленного доступа с помощью легитимного программного обеспечения, контролируемого сетевым злоумышленником.
Пока социальный инженер отвлекает жертву, злоумышленник решает, как скомпрометировать сеть, не вызывая тревоги.
В настоящее время есть свидетельства существования трех групп, входящих в бывшую операцию по вымогательству Conti, которые использовали BazarCall или версию этой тактики: Silent Ransom Group, Quantum и Roy/Zeon.
Переход к социальной инженерии был вызван предсказуемостью атак, что привело к сокращению прибыли, поскольку защитники начали применять эффективные меры по смягчению последствий.
Однако обман людей позволил бы использовать более гибкий подход, который мог бы меняться от одной кампании к другой, что усложняло бы выявление атак и защиту от них.
По словам исследователей из компании Advanced Intelligence (AdvIntel), занимающейся киберразведкой, член Conti сказал следующее во внутренних сообщениях:
Silent Ransom Group атакует крупные фирмы с помощью BazarCall
Начиная с апреля 2022 года, когда Conti закрывалась, операторы BazarCall сформировали собственную группу вымогателей под названием Silent Ransom Group (SRG). За три месяца они атаковали как минимум 94 организации, сосредоточившись только на краже данных и вымогательстве у жертв.
Как правило, в своих фишинговых кампаниях они рассылают поддельные уведомления о подписке, выдавая себя за платформу для изучения языка Duolingo и онлайн-образовательные платформы MasterClass.
Группа уделяла большое внимание организациям в секторе здравоохранения с годовым доходом от 500 000 до более 100 миллиардов долларов, почти 40% из них имеют доход выше 1 миллиарда долларов.
Хотя сегодня AdvIntel не называет никаких имен в своем отчете, исследователи описывают некоторые из основных целей и жертв SRG следующим образом:
команда НБА
многонациональный производитель оружия и аэрокосмическая компания (данные украдены при взломе)
крупный поставщик ИТ-решений
многомиллиардная компания, занимающаяся технологиями и программным обеспечением
крупный поставщик сантехники и ОВКВ
Quantum использует собственную тактику BazarCall
В середине июня 2022 года программа-вымогатель Quantum, еще одна отколовшаяся от Conti, начала использовать свою версию BazarCall в операции под названием «Jörmungandr»
Актеры разработали операцию, наняв людей, специализирующихся на рассылке спама, OSINT, дизайне и операторах колл-центра.
По информации AdvIntel, операторами программ-вымогателей Quantum было главное подразделение Conti (Conti Team Two), группа высококвалифицированных хакеров, ответственных за взлом правительства Коста-Рики.
Кампании звонков BazarCall, приписываемые группе Quantum, за два месяца стали более изощренными и нацелены на известные компании на основе приобретенных ими эксклюзивных наборов данных электронной почты.
Исследователи AdvIntel отмечают, что в фишинговых кампаниях BazarCall Quantum выдает себя за гораздо большее количество брендов:
Ginyard International
“Azure Dragon” (Azure Storage)
Oracle
HelloFresh
Luchechko Mortgage Team
US Equal Opportunity Employment Commission
CrowdStrike
Gobble
Независимо от темы фишингового письма злоумышленник призвал получателей звонить по номеру для получения дополнительных разъяснений.
AdvIntel говорит, что на одном из ранних этапов Quantum экспериментировала с электронными письмами BazarCall, выдающими себя за Oracle, и доставляла фишинговые сообщения более чем 200 000 получателей.
Позже они развернули более изощренные кампании, имитируя сообщение от компании по кибербезопасности CrowdStrike о ненормальной активности в сети жертвы.
Согласно отчету AdvIntel, Quantum использовала Jörmungandr, свою версию метода BazarCall, для нацеливания на пять «крупных компаний» с годовым доходом более 20 миллиардов долларов, большинство из которых в секторе здравоохранения.
Одним из них был поставщик управляемых услуг (MSP), который разрешил бы доступ к сотням предприятий и поставил бы их под угрозу их шифрования, подобно атаке программы-вымогателя REvil на Kaseya в прошлом году.
Когда они получали доступ к сети жертвы, хакеры Quantum обычно похищали данные и шифровали системы.
Третья группа, отделившаяся от Conti и принявшая методы, подобные BazarCall, называется Roy/Zeon по именам двух шкафчиков (Roy и Zeon), которые они используют для шифрования сетей жертв.
«Эта группа произошла от членов старой гвардии «Команды один» Конти, ответственной за создание самого Рюка» - AdvIntel
Roy/Zeon также лучше всех разбирается в социальной инженерии и очень избирательно подходит к своим целям, выбирая компании с высоким годовым доходом или из чувствительных отраслей.
Они начали использовать методы BazarCall 20 июня в сложных операциях, которые выдавали себя за наибольшее количество брендов, многие из которых были поставщиками программного обеспечения, используемого компаниями в определенной отрасли:
Sygnal Partners
iWired
Applied Automation Tech
RMM Central
Itarian
Auvik
RemotePC
RentoMojo
Parcel International
WhatFix
EZLynx
EATclub Canada
Standard Notes
Roy/Zeon демонстрирует навыки социальной инженерии
Исследователи AdvIntel говорят, что решение выдавать себя за вышеупомянутые бренды было основано на оценке того, что целевые сотрудники будут более склонны общаться с поставщиками программного обеспечения, характерного для их деятельности, которое менее известно за пределами отрасли.
Исследователи AdvIntel обнаружили, что в ходе недавней кампании злоумышленник нацелился на финансовые учреждения с поддельным уведомлением от поставщика Standard Notes — приложения для создания заметок с сквозным шифрованием — об окончании пробного периода.
Обратный фишинг окупается
Исследователи AdvIntel отмечают, что кампании BazarCall, которые они приписывают SRG, Quantum и Roy/Zeon, в течение чуть более трех месяцев привели к 20 громким обращениям и требованиям выкупа на десятки миллионов долларов США.
Оценка риска для этого нового вектора атаки мрачна, поскольку злоумышленники могут использовать его для увеличения уровня заражения с помощью злонамеренного программного обеспечения, такого как Atera, Cobalt Strike, Brute Ratel, Zoho Remote Desktop Control, агенты удаленного мониторинга и управления или вредоносное ПО (Sliver). .
Хотя обнаружение начального этапа атаки может быть затруднено, защитники могут отслеживать необычные сигналы связи с сервером управления и контроля, а также сигнальные маяки, установленные на машинах, которые указывают на заражение.
Кроме того, AdvIntel рекомендует контролировать сеть на предмет возможных боковых перемещений, которые могут повлиять на контроллер домена.
https://www.bleepingcomputer.com/news/security/ransomware-gangs-move-to-callback-social-engineering-attacks/
Агентство кибербезопасности и безопасности инфраструктуры (CISA) и Федеральное бюро расследований (ФБР) сегодня предупредили организации США, что злоумышленники, использующие программу-вымогатель Zeppelin, могут многократно шифровать свои файлы.
Два федеральных агентства также поделились тактикой, методами и процедурами (TTP) и индикаторами компрометации (IOC), чтобы помочь специалистам по безопасности обнаруживать и блокировать атаки с использованием этого штамма программ-вымогателей.
«ФБР наблюдало случаи, когда субъекты Zeppelin несколько раз запускали свое вредоносное ПО в сети жертвы, что приводило к созданию разных идентификаторов или расширений файлов для каждого экземпляра атаки; в результате жертве требовалось несколько уникальных ключей дешифрования», — говорится в сообщении. совместный бюллетень, опубликованный сегодня показал.
Обнаруженный ФБР совсем недавно, 21 июня, Zeppelin представляет собой операцию Ransomware as a Service (RaaS), чье вредоносное ПО претерпело несколько изменений имени с VegaLocker на Buran, VegaLocker, Jamper, а теперь и на Zeppelin.
Филиалы Zeppelin действуют как минимум с 2019 года, ориентируясь на предприятия и организации критической инфраструктуры, такие как оборонные подрядчики и технологические компании, уделяя особое внимание организациям из сферы здравоохранения и медицины.
Они также известны кражей данных для двойного вымогательства и запросами выкупа в биткойнах, причем первоначальные требования варьируются от нескольких тысяч до более миллиона долларов.
https://www.bleepingcomputer.com/news/security/fbi-zeppelin-ransomware-may-encrypt-devices-multiple-times-in-attacks/
В последнем выпуске вредоносное ПО SOVA теперь нацелено на более 200 банковских приложений, приложений для обмена криптовалютами и цифровых кошельков, пытаясь украсть у них конфиденциальные пользовательские данные и файлы cookie.
Кроме того, он имеет рефакторинг и улучшенный код, который помогает ему работать более скрытно на скомпрометированном устройстве, а в его последней версии 5.0 добавлен модуль вымогателя.
Быстрая эволюция
Аналитики угроз компании Cleafy, занимающейся безопасностью мобильных устройств, следили за эволюцией SOVA с момента объявления проекта в сентябре 2021 года и сообщают, что в 2022 году его развитие резко ускорилось.
В марте 2022 года SOVA выпустила версию 3, добавив перехват 2FA, кражу файлов cookie и новые инъекции для нескольких банков по всему миру. Инъекции — это наложения, отображаемые поверх законных запросов на вход в систему, которые используются для кражи учетных данных, например, для приложений онлайн-банка.
В июле 2022 года команда разработчиков SOVA выпустила версию 4, в которой количество целевых приложений увеличилось до 200, а также были добавлены возможности VNC (виртуальные сетевые вычисления) для мошенничества на устройстве.
Вредоносное ПО отправляет список установленных приложений на C2 и получает XML, содержащий список адресов, указывающих на правильные оверлеи, которые должны загружаться, когда жертва открывает целевое приложение.
В четвертой основной версии также добавлена поддержка таких команд, как создание снимков экрана, выполнение щелчков и пролистываний, копирование и вставка файлов, а также отображение наложенных экранов по желанию.
В этом выпуске также был проведен значительный рефакторинг кода в механизме кражи файлов cookie, который теперь ориентирован на Gmail, GPay и Google Password Manager.
SOVA v4 добавила некоторые средства защиты от защитных действий, злоупотребляя разрешениями на доступность, чтобы вернуть пользователя на главный экран, если он попытается удалить приложение вручную.
Наконец, четвертая версия была ориентирована на Binance и приложение платформы «Trust Wallet» с использованием специального модуля, созданного для кражи секретной фразы пользователя.
Новый модуль вымогателей
Совсем недавно Cleafy протестировала ранний выпуск SOVA v5, в который были внесены многочисленные улучшения кода и добавлены новые функции, такие как модуль программы-вымогателя.
Модуль использует шифрование AES для блокировки всех файлов на зараженных устройствах и добавления расширения «.enc» к переименованным зашифрованным файлам.
Однако пятая версия еще не получила широкого распространения, а ее модуль VNC отсутствует в ранних образцах, поэтому вполне вероятно, что эта версия все еще находится в стадии разработки.
По словам Клифи, даже в своем нынешнем незавершенном виде SOVA v5 готова к массовому развертыванию, поэтому всем пользователям Android рекомендуется проявлять бдительность.
Наконец, автор вредоносной программы, похоже, полон решимости и способен выполнить свои обещания от сентября 2021 года, придерживаясь графика разработки и добавляя расширенные функции каждые несколько месяцев.
Это делает SOVA все более опасной угрозой, поскольку банковский троян в настоящее время позиционирует себя как один из пионеров все еще недостаточно изученной области мобильных программ-вымогателей.
https://www.bleepingcomputer.com/news/security/sova-malware-adds-ransomware-feature-to-encrypt-android-devices/
BlackByte вернулся с версией 2.0, включая новый сайт утечки данных, использующий новые методы вымогательства, заимствованные у LockBit.
После непродолжительного исчезновения программа-вымогатель теперь продвигает новый сайт утечки данных на хакерских форумах и через учетные записи Twitter, которые контролирует злоумышленник.
Злоумышленники называют эту новую итерацию своей операции BlackByte версии 2.0, и хотя неясно, изменился ли также шифровальщик, группа запустила совершенно новый сайт утечки данных Tor.
Сайт утечки данных включает только одну жертву в настоящее время, но теперь имеет новые стратегии вымогательства, которые позволяют жертвам платить за продление публикации своих данных на 24 часа (5000 долларов США), загрузку данных (200 000 долларов США) или уничтожение всех данных (300 000 долларов США). ). Эти цены, скорее всего, изменятся в зависимости от размера/дохода жертвы.
Однако, как указала компания KELA, занимающаяся разведкой в области кибербезопасности, новый сайт утечки данных BlackByte неправильно встраивает адреса Биткойн и Монеро, которые «клиенты» могут использовать для покупки или удаления данных, что делает эти новые функции в настоящее время неработоспособными.
Цель этих новых методов вымогательства — позволить жертве заплатить за удаление своих данных, а другим злоумышленникам — приобрести их, если они того пожелают.
LockBit представила ту же тактику вымогательства с выпуском своей версии 3.0 и рассматривается скорее как уловка, чем как жизнеспособная тактика вымогательства.
Кто такой BlackByte?
Операция по вымогательству BlackByte началась летом 2021 года, когда хакеры начали взламывать корпоративные сети для кражи данных и шифрования устройств.
Их самая громкая атака была совершена против игроков NFL 49ers, но в совместном консультативном заключении ФБР и Секретной службы говорится, что они также несут ответственность за атаки на критически важные секторы инфраструктуры, включая государственные учреждения, финансовые учреждения, а также продукты питания и сельское хозяйство.
Известно, что злоумышленники взламывают сети, используя уязвимости, и в прошлом взламывали серверы Microsoft Exchange, используя цепочку атак ProxyShell.
В 2021 году в работе была обнаружена уязвимость, позволившая создать бесплатный дешифратор BlackByte. К сожалению, после сообщения об уязвимости злоумышленники исправили ее.
https://www.bleepingcomputer.com/news/security/blackbyte-ransomware-gang-is-back-with-new-extortion-tactics/
LockBit взял на себя ответственность за июньскую кибератаку на гиганта цифровой безопасности Entrust.
8 июня 2022 года Entrust подвергся атаке шифровальщика.
Хотя Entrust подтвердил, что они подверглись кибератаке и что данные были украдены из внутренних систем, они не подтвердили, что это была атака шифровальщика.
«Мы определили, что некоторые файлы были взяты из наших внутренних систем. Поскольку мы продолжаем исследовать проблему, мы свяжемся с вами напрямую, если узнаем информацию, которая, по нашему мнению, может повлиять на безопасность продуктов и услуг, которые мы предоставляем вашей организации», Entrust сообщил BleepingComputer в прошлом месяце.
Однако генеральный директор AdvIntel Виталий Кремез сообщил в то время, что известная кибергруппа атаковала Entrust после покупки доступа к корпоративной сети через «продавцов доступа к сети».
LockBit заявляет об атаке на Entrust
Сегодня исследователь безопасности Доминик Альвьери сообщил, что LockBit создала на своем веб-сайте специальную страницу утечки данных для Entrust, заявив, что они опубликуют все украденные данные завтра вечером.
Когда кибергруппы публикуют данные на своих сайтах утечки данных, они обычно сливают данные с течением времени, чтобы напугать жертву и заставить ее вернуться за стол переговоров.
Поскольку LockBit заявляет, что они опубликуют все данные, это указывает на то, что Entrust не вела переговоры с операцией по вымогательству или отказывается выполнять их требования.
BleepingComputer обратился к Entrust за дальнейшим подтверждением атаки LockBit, но в настоящее время не получил ответа.
Однако заявление LockBit об атаке подтверждает то, что источники ранее сообщали BleepingComputer о том, кто несет ответственность.
LockBit считается одной из самых активных операций с программами-вымогателями в настоящее время, а ее общедоступная операция «LockBitSupp» активно взаимодействует с субъектами угроз и исследователями кибербезопасности.
В июне был выпущен LockBit 3.0 с новыми шифровальщиками, основанными на исходном коде BlackMatter, новыми вариантами оплаты, новыми стратегиями вымогательства и первой программой вознаграждения за ошибки программ-вымогателей.
Из-за постоянного внедрения новых тактик, технологий и методов оплаты специалистам по безопасности и сетям жизненно важно быть в курсе развития операции и ее TTP.
https://www.bleepingcomputer.com/news/security/lockbit-claims-ransomware-attack-on-security-giant-entrust/
LockBit объявил, что он улучшает защиту от распределенных атак типа «отказ в обслуживании» (DDoS) и работает над тем, чтобы вывести операцию на тройной уровень вымогательства.
Кибергруппа недавно подверглась DDoS-атаке, предположительно от имени гиганта цифровой безопасности Entrust, которая предотвратила доступ к данным, опубликованным на ее корпоративном сайте утечек.
LockBit попадает в DDoS
На этой неделе было объявлено, что LockBit вернулся в бизнес с более крупной инфраструктурой, чтобы обеспечить доступ к утечкам, не опасаясь DDoS-атак.
DDoS-атака на прошлых выходных, которая временно остановила утечку данных Entrust, была воспринята как возможность изучить тактику тройного вымогательства, чтобы оказать большее давление на жертв, чтобы они заплатили выкуп.
LockBitSupp заявил, что оператор программы-вымогателя теперь хочет добавить DDoS в качестве тактики вымогательства в дополнение к шифрованию данных и их утечке.
«Ищу DDoSers в команду, скорее всего теперь мы будем атаковать цели и обеспечим тройное вымогательство, шифрование + утечка данных + dudos, потому что я почувствовал силу dudos и то, как это бодрит и делает жизнь интереснее, — написал LockBitSupp в сообщении на хакерском форуме.
Утечка данных Entrust
Lockbit пообещал поделиться через торрент 300 ГБ данных, украденных у Entrust, чтобы «весь мир узнал ваши секреты».
Представитель LockBit сказал, что они поделятся утечкой данных Entrust в частном порядке со всеми, кто свяжется с ними, прежде чем сделать их доступными через торрент.
Похоже, что LockBit сдержал свое обещание и выпустил в эти выходные торрент под названием «entrust.com» с 343 ГБ файлов.
Операторы хотели убедиться, что данные Entrust доступны из нескольких источников, и, помимо публикации их на своем сайте, они также предоставили доступ к торренту как минимум двум службам хранения файлов, причем один из них больше не делает его доступным.
Защита от DDoS-атак
Один из уже реализованных методов предотвращения дальнейших DDoS-атак — использование уникальных ссылок в примечаниях о выкупе для жертв.
«Уже реализована функция рандомизации ссылок в заметках локера, каждая сборка локера будет иметь уникальную ссылку, которую дидосер [DDoSer] не сможет распознать», — написал LockBitSupp.
Они также объявили об увеличении количества зеркал и серверов-дубликатов, а также о плане повысить доступность украденных данных, сделав их доступными через клиринговую сеть через службу защищенного хранилища.
https://www.bleepingcomputer.com/news/security/lockbit-ransomware-gang-gets-aggressive-with-triple-extortion-tactic/
В июне Lockbit выпустил версию 3.0 своего Encryptor Codened Lockbit Black, после тестирования в течение двух месяцев.
Новая версия обещала «сделать вымогательную программу снова великим», добавив новые функции антианализа, программу щедрости с ошибкой вымогателей и новые методы вымогательства.
Тем не менее, похоже, что Lockbit подвергся атаке, и два человека (или, может быть, один и тот же человек), допустили утечку builder-а Lockbit 3.0 в Твиттере.
Lockbit 3.0 Builder просочился в Twitter
По словам исследователя безопасности 3XP0RT, недавно зарегистрированный пользователь Twitter по имени «Али Кушджи» заявляет, что их команда взломала серверы Lockbit и нашла builder для зашифрования Ransomware Lockbit 3.0.
После того, как исследователь безопасности 3XP0RT поделился твиттом о просочившемся буилдере Lockbit 3.0, VX-Underground поделился, что с ним связался 10 сентября пользователем по имени «ProtonLeaks», который также поделился копией буилдера.
Билдер позволяет кому -нибудь начать новое вымогательство.
Независимо от того, как просочился частный буилдер, это не только серьезный удар по операции Lockbit Ransomware, но еще и предприятие, которое приведет к росту актеров -угроз, использующих его для запуска своих собственных атак.
Утечка Lockbit 3.0 Builder позволяет кому -либо быстро создавать исполняемые файлы, необходимые для запуска собственной операции, включая Encryptor, Decryptor и специализированные инструменты для запуска Decryptor определенным образом.
Билдер состоит из четырех файлов: генератора ключей шифрования, билдера, модифицируемого файла конфигурации и пакетного файла для создания всех файлов.
Этот билдер - не первый случай, когда вымогатель или исходный код был украден, что приводит к увеличению атак других актеров -угроз, которые запустили свои собственные операции.
В июне 2021 года была утечка Babuk Ransomware Builder, что позволило любому создавать крипторы для Windows и VMware ESXI, которые другие актеры использовали в атаках.
В марте 2022 года, утекли коды группы Conti, их исходный код также просочился в Интернете. Этот исходный код был быстро использован хакерской группой NB65 для запуска атак Ransomware на Россию.
https://www.bleepingcomputer.com/news/security/lockbit-ransomware-builder-leaked-online-by-angry-developer-/
Программа-вымогатель BlackCat (также известная как ALPHV) не проявляет никаких признаков замедления, и последним примером ее эволюции является новая версия инструмента для кражи данных, используемого для атак с двойным вымогательством.
BlackCat считается преемником Darkside и BlackMatter и является одной из самых сложных и технически продвинутых операций Ransomware-as-a-Service (RaaS).
Исследователи безопасности в Symantec, которые называют BlackCat «Noberus», сообщают, что разработчик первого штамма вымогателя на основе Rust постоянно улучшает и обогащает вредоносное ПО новыми функциями.
В последнее время основное внимание, по-видимому, уделялось инструменту, используемому для эксфильтрации данных из скомпрометированных систем, что является важным требованием для проведения атак с двойным вымогательством.
Инструмент под названием Exmatter использовался с момента запуска BlackCat в ноябре 2021 года и был сильно обновлен в августе 2022 года со следующими изменениями:
Ограничены типы файлов для эксфильтрации: PDF, DOC, DOCX, XLS, PNG, JPG, JPEG, TXT, BMP, RDP, SQL, MSG, PST, ZIP, RTF, IPT и DWG.
Добавлен FTP в качестве опции эксфильтрации в дополнение к SFTP и WebDav.
Предложена возможность построить отчет со списком всех обработанных файлов
Добавлена функцию «Ластик», дающую возможность повреждать обработанные файлы.
Добавлен параметр конфигурации «Самоуничтожение», чтобы выйти и удалить себя, если он выполняется в недопустимой среде.
Удалена поддержку Socks5
Добавлена опция для развертывания GPO
В дополнение к расширенным возможностям, последняя версия Exmatter подверглась серьезному рефакторингу кода, реализуя существующие функции более скрытно, чтобы избежать обнаружения.
Еще одним недавним дополнением к возможностям BlackCat по краже информации является развертывание нового вредоносного ПО под названием «Eamfo», которое явно нацелено на учетные данные, хранящиеся в резервных копиях Veeam.
Это программное обеспечение обычно используется для хранения учетных данных для контроллеров домена и облачных служб, чтобы злоумышленники могли использовать их для более глубокого проникновения и горизонтального перемещения.
Eamfo подключается к базе данных Veeam SQL и крадет учетные данные для резервного копирования с помощью следующего SQL-запроса:
После извлечения учетных данных Eamfo расшифровывает их и отображает злоумышленнику.
Исследователи отмечают, что вредоносное ПО для кражи информации в прошлом использовалось другими кибергруппами, включая Monti, Yanluowang и LockBit.
Наконец, Symantec заметила, что операция BlackCat была замечена с использованием более старой утилиты для защиты от руткитов, призванной завершать антивирусные процессы.
Оставаться на вершине
В июне 2022 года BlackCat представила поддержку шифрования файлов на архитектурах ARM и режим шифрования в безопасном режиме Windows с подключением к сети или без нее.
В то время кибергуппа также создала специальный онлайн-ресурс, где люди могли искать свои украденные данные, чтобы усилить давление на взломанные фирмы.
Очевидно, что BlackCat постоянно развивается с новыми инструментами, улучшениями и стратегиями вымогательства, чтобы сделать работу RaaS более эффективной и действенной.
Symantec сообщает, что операторы BlackCat исключают аффилированных лиц, которые не так продуктивны, как им хотелось бы, предлагая им сотрудничать с более низкими программами RaaS.
Исследователи также видели, как бывшие филиалы Conti перешли на BlackCat/ALPHV после того, как Conti закрыла их деятельность.
Это отключение привело к притоку опытных злоумышленников, которые смогли быстро запустить новые атаки в рамках новой операции.
https://www.bleepingcomputer.com/news/security/blackcat-ransomware-s-data-exfiltration-tool-gets-an-upgrade/
Вредоносное ПО для кражи данных, известное как Exmatter и ранее связанное с группой программ-вымогателей BlackMatter, теперь обновляется с помощью функции повреждения данных, что может указывать на новую тактику, к которой аффилированные лица программ-вымогателей могут перейти в будущем.
Новый образец был обнаружен аналитиками вредоносных программ из группы специальных операций Cyderes во время недавнего реагирования на инцидент после атаки программы-вымогателя BlackCat, а затем передан группе исследования угроз Stairwell для дальнейшего анализа (Symantec видел аналогичный образец, развернутый во время атаки программы-вымогателя Noberus).
Хотя Exmatter используется аффилированными лицами BlackMatter как минимум с октября 2021 года, это первый раз, когда вредоносный инструмент был замечен с деструктивным модулем.
«По мере того, как файлы загружаются на управляемый актером сервер, файлы, которые были успешно скопированы на удаленный сервер, ставятся в очередь для обработки классом Eraser», — сказал Сайдерес.
«Сегмент произвольного размера, начинающийся в начале второго файла, считывается в буфер, а затем записывается в начало первого файла, перезаписывая его и повреждая файл».
Эта тактика использования данных из одного извлеченного файла для повреждения другого файла может быть частью попытки уклониться от обнаружения программ-вымогателей или эвристического стирания, которое может срабатывать при использовании случайно сгенерированных данных.
Как обнаружили исследователи угроз Stairwell, частично реализованные возможности уничтожения данных Exmatter, вероятно, все еще находятся в разработке, учитывая следующее:
Не существует механизма для удаления файлов из очереди повреждения, а это означает, что некоторые файлы могут быть перезаписаны много раз, прежде чем программа завершит работу, а другие, возможно, никогда не будут выбраны.
Функция, которая создает экземпляр класса Eraser, с именем Erase, похоже, не полностью реализована и не декомпилируется должным образом.
Длина фрагмента второго файла, который используется для перезаписи первого файла, определяется случайным образом и может составлять всего один байт
Переключиться на повреждение данных, чтобы сохранить все деньги?
Эта функция повреждения данных является интересной разработкой, и хотя она также может использоваться для обхода программного обеспечения безопасности, исследователи из Stairwell и Cyderes считают, что это может быть частью изменения стратегии, используемой филиалами программ-вымогателей.
Многие операции с программами-вымогателями выполняются как программа-вымогатель как услуга, где операторы/разработчики отвечают за разработку программы-вымогателя, платежного сайта и ведения переговоров, а аффилированные лица присоединяются к корпоративным сетям, краже данных, удалению резервных копий и шифрованию устройств. .
В рамках этой договоренности операторы программ-вымогателей получают от 15 до 30% от любого платежа выкупа, а аффилированные лица получают остальное.
Однако в прошлом было известно, что операции программ-вымогателей приводили к ошибкам, которые позволяли исследователям в области безопасности создавать дешифраторы, помогающие жертвам бесплатно восстанавливать файлы.
Когда это происходит, партнеры теряют любой потенциальный доход, который они могли бы получить как часть платежа выкупа.
В связи с этим исследователи считают, что эта новая функция повреждения данных может стать новым переходом от традиционных атак программ-вымогателей, когда данные крадут, а затем шифруют, к атакам, при которых данные крадут, а затем удаляют или повреждают.
В соответствии с этим методом партнер получает весь доход, полученный от атаки, поскольку ему не нужно делиться процентом с разработчиком шифровальщика.
«Аффилированные лица также потеряли прибыль от успешных вторжений из-за уязвимых мест в развернутой программе-вымогателе, как это было в случае с BlackMatter, программой-вымогателем, связанной с предыдущими появлениями этого инструмента для эксфильтрации на основе .NET», — добавил Сайдерс.
Уничтожение конфиденциальных данных после эксфильтрации их на свои серверы предотвратит это и, скорее всего, также послужит дополнительным стимулом для жертв платить требования выкупа.
«Устранение этапа шифрования данных ускоряет процесс и устраняет риск неполучения полной выплаты или того, что жертва найдет другие способы расшифровки данных», — сказал Сайдерс.
Возможно, поэтому мы видим, что инструменты эксфильтрации находятся в процессе обновления с возможностью повреждения данных в процессе разработки, что, вероятно, позволит аффилированным лицам RaaS удалить часть развертывания программ-вымогателей в своих атаках, чтобы оставить все деньги себе.
«Кроме того, за каждый полученный вымогательство платеж оператор будет удерживать 100% выкупа, а не платить процент разработчикам RaaS», — заключил исследователь угроз Stairwell Дэниел Майер.
«Эти факторы завершаются оправданным случаем, когда аффилированные лица отказываются от модели RaaS, чтобы вычеркнуть ее самостоятельно, заменив программы-вымогатели, требующие интенсивной разработки, уничтожением данных».
https://www.bleepingcomputer.com/news/security/ransomware-data-theft-tool-may-show-a-shift-in-extortion-tactics/
Относительно новая кибергруппа Bl00Dy начала использовать недавно просочившийся сборщик программ-вымогателей LockBit для атак на компании.
На прошлой неделе в Твиттер просочилась программа-вымогатель LockBit 3.0. Этот конструктор позволяет любому создать полнофункциональный шифратор и дешифратор, который злоумышленники могут использовать для атак.
Поскольку сборщик включает в себя файл конфигурации, который можно легко настроить для использования различных заметок о выкупе, серверов статистики и функций, было предсказано, что другие злоумышленники вскоре будут использовать сборщик для создания своих собственных программ-вымогателей.
К сожалению, наши прогнозы сбылись, и относительно новая группа программ-вымогателей под названием «Bl00Dy Ransomware Gang» уже использовала конструктор для атак.
https://www.bleepingcomputer.com/news/security/leaked-lockbit-30-builder-used-by-bl00dy-ransomware-gang-in-attacks/
BlackByte использует новую технику, которую исследователи называют «Принеси свой собственный драйвер», которая позволяет обходить защиту, отключая более 1000 драйверов, используемых различными решениями безопасности.
Недавние атаки, приписываемые этой группе, были связаны с версией драйвера MSI Afterburner RTCore64.sys, которая уязвима для повышения привилегий и уязвимости выполнения кода, отслеживаемой как CVE-2019-16098.
Использование проблемы безопасности позволило BlackByte отключить драйверы, препятствующие нормальной работе обнаружения и реагирования на несколько конечных точек (EDR), а также антивирусные продукты.
Метод «Принеси свой собственный уязвимый драйвер» (BYOVD) эффективен, поскольку уязвимые драйверы подписаны действительным сертификатом и запускаются в системе с высокими привилегиями.
Два примечательных недавних примера атак BYOVD включают Lazarus, злоупотребляющий драйвером Dell, и неизвестные хакеры, злоупотребляющие античитерским драйвером/модулем для игры Genshin Impact.
Детали атаки
Исследователи безопасности из компании Sophos, занимающейся кибербезопасностью, объясняют, что злоупотребляемый графический драйвер MSI предлагает коды управления вводом-выводом, напрямую доступные процессам пользовательского режима, что нарушает правила безопасности Microsoft в отношении доступа к памяти ядра.
Это позволяет злоумышленникам читать, писать или выполнять код в памяти ядра без использования шелл-кода или эксплойта.
На первом этапе атаки BlackByte идентифицирует версию ядра, чтобы выбрать правильные смещения, соответствующие идентификатору ядра.
Затем RTCore64.sys помещается в «AppData\Roaming» и создает службу, используя жестко заданное имя и случайно выбранное, не очень тонкое отображаемое имя.
Затем злоумышленники используют уязвимость драйвера для удаления процедур уведомления ядра, которые соответствуют процессам инструментов безопасности.
Полученные адреса обратного вызова используются для получения соответствующего имени драйвера и сравниваются со списком из 1000 целевых драйверов, которые поддерживают функцию инструментов AV/EDR.
Любые совпадения, найденные на этом этапе, удаляются путем перезаписи нулями элемента, содержащего адрес функции обратного вызова, поэтому целевой драйвер аннулируется.
Sophos также выделяет несколько методов, которые BlackByte использует в этих атаках, чтобы избежать анализа со стороны исследователей безопасности, таких как поиск признаков работы отладчика в целевой системе и выход из него.
Вредоносная программа BlackByte также проверяет список перехватывающих DLL-библиотек, используемых Avast, Sandboxie, библиотекой Windows DbgHelp и Comodo Internet Security, и прекращает свое выполнение в случае обнаружения.
Системные администраторы могут защититься от нового приема обхода безопасности BlackByte, добавив конкретный драйвер MSI в активный черный список.
Кроме того, администраторы должны отслеживать все события установки драйверов и часто проверять их, чтобы найти любые мошеннические инъекции, которые не соответствуют оборудованию.
https://www.bleepingcomputer.com/news/security/blackbyte-ransomware-abuses-legit-driver-to-disable-security-products/
Недавняя вредоносная кампания по доставке Magniber была нацелена на домашних пользователей Windows с поддельными обновлениями безопасности.
Злоумышленники создали в сентябре веб-сайты, рекламирующие поддельные обновления антивируса и безопасности для Windows 10. Загруженные вредоносные файлы (ZIP-архивы) содержали JavaScript, который инициировал сложное заражение вредоносным ПО, шифрующим файлы.
В отчете группы HP по анализу угроз отмечается, что операторы Magniber потребовали от домашних пользователей плату в размере до 2500 долларов за получение инструмента дешифрования и восстановление своих файлов. Штамм явно фокусируется на сборках Windows 10 и Windows 11.
В апреле 2022 года Magniber распространялся как обновление Windows 10 через сеть вредоносных веб-сайтов.
В январе его операторы использовали обновления браузеров Chrome и Edge для отправки вредоносных файлов пакетов приложений Windows (.APPX).
Новая цепочка инфекций Магнибера
В предыдущей кампании злоумышленник использовал файлы MSI и EXE. В последнее время он переключился на файлы JavaScript со следующими именами:
SYSTEM.Critical.Upgrade.Win10.0.ba45bd8ee89b1.js
SYSTEM.Security.Database.Upgrade.Win10.0.jse
Antivirus_Upgrade_Cloud.29229c7696d2d84.jse
ALERT.System.Software.Upgrade.392fdad9ebab262cc97f832c40e6ad2c.js
Эти файлы запутаны и используют вариант метода «DotNetToJScript» для выполнения файла .NET в системной памяти, что снижает риск обнаружения антивирусными продуктами, доступными на хосте.
Файл .NET декодирует шелл-код, который использует свою собственную оболочку для выполнения скрытых системных вызовов, и внедряет его в новый процесс перед завершением своего собственного.
Шелл-код удаляет файлы теневого копирования через WMI и отключает функции резервного копирования и восстановления через «bcdedit» и «wbadmin». Это увеличивает шансы на получение оплаты, поскольку у жертв меньше возможностей восстановить свои файлы.
Для выполнения этого действия Magniber использует обход функции контроля учетных записей (UAC) в Windows.
Он основан на механизме, который включает создание нового раздела реестра, позволяющего указать команду оболочки. На более позднем этапе выполняется утилита fodhelper.exe для запуска сценария удаления теневых копий.
Наконец, Magniber шифрует файлы на хосте и сбрасывает заметки о выкупе, содержащие инструкции для жертвы по восстановлению своих файлов.
Аналитики HP заметили, что хотя Magniber пытается ограничить шифрование только определенными типами файлов, псевдохеш, который он генерирует во время перечисления, не идеален, что приводит к коллизиям хэшей и «сопутствующему ущербу», т. е. к шифрованию нецелевых типов файлов. .
Домашние пользователи могут защититься от атаки программ-вымогателей, регулярно создавая резервные копии своих файлов и сохраняя их на автономном устройстве хранения. Это позволяет восстановить данные на только что установленную операционную систему.
https://www.bleepingcomputer.com/news/security/magniber-ransomware-now-infects-windows-users-via-javascript-files/
Департамент финансов Калифорнии стал объектом кибератаки, ответственность за которую теперь взяла группа LockBit.
Калифорнийский центр интеграции кибербезопасности (Cal-CSIC), группа государственных и федеральных агентств, занимающихся защитой от киберугроз, начала расследование.
Текущее расследование
Управление по чрезвычайным ситуациям губернатора Калифорнии подтвердило, что Департамент финансов пострадал от киберинцидента, но не предоставило слишком подробной информации.
«Вторжение было заранее выявлено благодаря координации с партнерами по безопасности на уровне штата и на федеральном уровне. После выявления этой угрозы были быстро направлены эксперты по цифровой безопасности и онлайн-охоте за угрозами, чтобы оценить масштабы вторжения, а также оценить, сдержать и смягчить будущие уязвимости», — Управление аварийных служб Калифорнии.
Неясно, какой ущерб нанесли хакеры и как им удалось взломать отдел. Однако в штате Калифорния заявляют, что атака не затронула государственные средства.
LockBit заявляет о 75 ГБ украденных файлов
В понедельник LockBit разместила на своем сайте утечки информацию о том, что они взломали Департамент финансов штата Калифорния и украли базы данных, конфиденциальные данные, финансовые документы и ИТ-документы.
В доказательство своего утверждения хакеры опубликовали несколько скриншотов файлов, которые они якобы украли из систем Министерства финансов Калифорнии.
Хакеры также опубликовали скриншот каталогов и количество сохраненных файлов. В диалоговом окне свойств отображается более 246 000 файлов в более чем 114 000 папок, что составляет 75,3 ГБ данных.
Сайт утечки данных LockBit показывает счетчик, который должен получить оплату до 24 декабря, угрожая опубликовать все файлы, если они не получат выкуп.
Конструктор, который позволяет генерировать шифровальщик и дешифратор для программы-вымогателя LockBit, был слит в сентябре недовольным оператором.
Через неделю новая группа, назвавшая себя BloodDy Ransomware Gang, начала использовать его в своих атаках.
Операторы LockBit обычно сосредотачиваются на вымогательстве у крупных компаний и являются одними из самых активных на сцене программ-вымогателей с крупными суммами выкупа
Среди жертв LockBit в этом году — автомобильный гигант Continental, охранная компания Entrust и Налоговая служба Италии (L’Agenzia delle Entrate).
Кибергруппа руководствуется финансовыми соображениями и первой внедрила программу вознаграждения за обнаружение ошибок, предлагая вознаграждение в размере до 1 миллиона долларов за уязвимости на своих веб-сайтах, локерах и новые идеи для расширения своей деятельности.
https://www.bleepingcomputer.com/news/security/lockbit-claims-attack-on-californias-department-of-finance/
Исследователи безопасности обнаружили новую разновидность ramsomware - Mimic, которая использует API-интерфейсы инструмента поиска файлов Everything для поиска файлов, предназначенных для шифрования.
Вредоносная программа, обнаруженная в июне 2022 года исследователями компании Trend Micro, занимающейся кибербезопасностью, нацелена в основном на англо- и русскоязычных пользователей.
Mimic атаки
Атаки, Mimic Ransomware, начинаются с того, что жертва получает исполняемый файл, предположительно по электронной почте, который извлекает четыре файла в целевой системе, включая основную полезную нагрузку, вспомогательные файлы и инструменты для отключения Защитника Windows.
Mimic — это универсальный штамм вымогателя, который поддерживает аргументы командной строки для узкого нацеливания на файл, а также может использовать несколько потоков процессора для ускорения процесса шифрования данных.
Новое семейство ransomware имеет несколько возможностей, характерных для современных штаммов, таких как:
Сбор информации о системе
Создание постоянства с помощью RUN key
Обход контроля учетных записей (UAC)
Отключение Защитника Windows
Отключение телеметрии Windows
Активация мер защиты от отключения
Активация anti-kill мер
Размонтирование виртуальных дисков
Завершение процессов и сервисов
Отключение спящего режима и выключение системы
Удаление индикаторов
Запрет восстановления системы
Уничтожение процессов и служб направлено на то, чтобы отключить меры защиты и освободить важные данные, такие как файлы базы данных, сделав их доступными для шифрования.
Злоупотребление Everything
Everything — это название популярной системы поиска файлов для Windows, разработанной Voidtools. Утилита легкая и быстрая, использует минимальные системные ресурсы и поддерживает обновления в реальном времени.
Mimic Ransomware использует возможности поиска Everything в виде «Everything32.dll», сброшенного на этапе заражения, для запроса конкретных имен файлов и расширений в скомпрометированной системе.
Everything помогает Mimic находить файлы, подходящие для шифрования, избегая при этом системных файлов, которые могут привести к невозможности загрузки системы в случае блокировки.
Mimic — это новый штамм с еще непроверенной активностью, но использование Conti Builder и Everything API доказывает, что его авторы — компетентные разработчики программного обеспечения, которые имеют четкое представление о том, как они могут достичь своих целей.
https://www.bleepingcomputer.com/news/security/new-mimic-ransomware-abuses-everything-windows-search-tool/
p.s. Известно, как минимум 5 вариантов, самые свежие из них:
*QUIPLACE;
*.KASPERSKY;
*.bigspermhorseballs
подробнее здесь:
https://id-ransomware.blogspot.com/2022/08/n3ww4v3-ransomware.html
LockBit начал использовать шифраторы, основанные на других вариантах ransomware, на этот раз переключившись на шифровальщик, основанный на утечке исходного кода программы-вымогателя Conti.
С момента своего запуска LockBit претерпела множество итераций своего шифровальщика, начиная с пользовательского и заканчивая LockBit 3.0 (он же LockBit Black), который получен из исходного кода BlackMatter.
На этой неделе группа кибербезопасности VX-Underground впервые сообщила, что Lockbit теперь использует новый шифровальщик под названием «LockBit Green», основанный на утечке исходного кода Conti.
Conti закрылась после серии досадных утечек данных, вызванных утечкой 170 000 внутренних сообщений и исходного кода их шифровальщика.
Вскоре после утечки исходного кода другие хакерские группы начали использовать его для создания собственных шифровальщиков.
Смотрим на LockBit Green
С тех пор, как новости о LockBit Green стали достоянием общественности, исследователи обнаружили образцы нового шифровальщика, циркулирующие на VirusTotal и других сайтах, распространяющих вредоносное ПО.
Аналитик вредоносного ПО, известный как CyberGeeksTech, перепроектировал образец LockBit Green и сообщил, что он определенно основан на шифровщике Conti, который они ранее анализировали.
«Я проанализировал образец, и он на 100% основан на исходном коде Conti», — сказал исследователь.
«Алгоритм дешифрования — это просто пример сходства. Странно, что они решили построить полезную нагрузку на основе Conti, у них есть собственный шифратор».
Фирма по кибербезопасности PRODAFT также поделилась четырьмя хэшами MD5 найденных ими образцов LockBit Green, включая правило Yara, которое может обнаруживать новый вариант.
PRODAFT сообщил, что им известно как минимум о пяти жертвах, которые подверглись атаке с использованием нового варианта LockBit Green.
BleepingComputer протестировал один из образцов, предоставленных PRODAFT, который использует те же аргументы командной строки, что и предыдущие шифраторы Conti.
Примечания о выкупе были изменены, чтобы использовать примечание о выкупе LockBit 3.0, а не формат Conti, как показано ниже.
Однако одно изменение, которое мы заметили, заключается в том, что LockBit Green использует то, что кажется случайным расширением, а не стандартным расширением .lockbit.
https://www.bleepingcomputer.com/news/security/lockbit-ransomware-goes-green-uses-new-conti-based-encryptor/
Royal Ransomware — это новейшая операция программы-вымогателя, которая добавляет поддержку шифрования устройств Linux к своим последним вариантам вредоносного ПО, специально нацеленным на виртуальные машины VMware ESXi.
BleepingComputer сообщает об аналогичных программах-шифровальщиках для Linux, выпущенных несколькими другими группами, включая
Новый вариант Linux Royal Ransomware был обнаружен Уиллом Томасом из Центра анализа угроз Equinix (ETAC) и выполняется с помощью командной строки.
Он также поставляется с поддержкой нескольких флагов, которые дадут операторам программ-вымогателей некоторый контроль над процессом шифрования:
-stopvm > останавливает все работающие виртуальные машины, чтобы их можно было зашифровать
-vmonly — шифровать только виртуальные машины
-fork - неизвестно
-logs - неизвестно
-id: идентификатор должен состоять из 32 символов
При шифровании файлов программа-вымогатель добавит расширение .royal_u ко всем зашифрованным файлам на виртуальной машине.
В то время как у решений для защиты от вредоносных программ были проблемы с обнаружением образцов Royal Ransomware, которые объединяют новые возможности таргетинга, теперь они обнаруживаются 23 из 62 модулей сканирования вредоносных программ на VirusTotal.
Кто такие Royal Ransomware?
Royal Ransomware — это частная операция, состоящая из опытных злоумышленников, которые ранее работали с программой-вымогателем Conti.
Начиная с сентября, Роял активизировал вредоносную деятельность через несколько месяцев после того, как его впервые заметили в январе 2022 года.
Хотя изначально они использовали шифраторы из других операций, таких как BlackCat, они перешли на использование своих собственных, начиная с Zeon, который оставлял заметки о выкупе, аналогичные тем, которые были созданы Conti.
В середине сентября группа была переименована в «Royal» и начала развертывать новый шифровальщик в атаках, который создает заметки с требованием выкупа с тем же именем.
Злоумышленники требуют выкуп в размере от 250 000 до десятков миллионов долларов после шифрования корпоративных сетевых систем своих целей.
В декабре Министерство здравоохранения и социальных служб США (HHS) предупредило об атаках программ-вымогателей Royal, нацеленных на организации в секторе здравоохранения и общественного здравоохранения (HPH).
Большинство штаммов программ-вымогателей теперь также нацелены на Linux
Сдвиг групп вымогателей в сторону виртуальных машин ESXi согласуется с тенденцией, когда предприятия переходят на виртуальные машины, поскольку они обеспечивают улучшенное управление устройствами и гораздо более эффективную обработку ресурсов.
После развертывания своих полезных нагрузок на хостах ESXi операторы программ-вымогателей используют одну команду для шифрования нескольких серверов.
«Причина, по которой большинство групп вымогателей внедряют версии своих программ-вымогателей на базе Linux, заключается в том, что они нацелены именно на ESXi», — сказал Wosar в прошлом году.
Согласно отчету Lansweeper, десятки тысяч серверов VMware ESXi, размещенных в Интернете, в октябре подошли к концу.
Отныне эти системы будут получать только техническую поддержку, но не будут получать обновления безопасности, что делает их уязвимыми для атак программ-вымогателей.
Чтобы представить ситуацию в перспективе и показать, насколько подвержены атакам такие серверы, в эту пятницу для сканирования и шифрования неисправленных серверов в масштабной кампании, нацеленной на устройства ESXi по всему миру, был использован новый штамм программы-вымогателя, известный как ESXiArgs.
По данным поиска Shodan, всего за несколько часов в результате этих атак было скомпрометировано более 100 серверов по всему миру.
https://www.bleepingcomputer.com/news/security/linux-version-of-royal-ransomware-targets-vmware-esxi-servers/