Шифровирусы шумной толпою...

1235»

Комментарии

  • отредактировано 21 May PM
    ProLock ransomware.

    Несмотря на недолгое время, ProLock уже завоевал популярность, ориентируясь на финансовые, медицинские, государственные и розничные организации. Первая крупная атака группы, о которой мы знаем, по крайней мере, произошла в конце апреля, когда они успешно атаковали Diebold Nixdorf - одного из основных поставщиков банкоматов.

    Начальный доступ
    Операторы ProLock использовали два основных вектора начального доступа: QakBot (Qbot) и незащищенные протоколы удаленного рабочего стола (RDP) со слабыми учетными данными.

    Как правило, QakBot распространяется через фишинговые кампании. Фишинговые электронные письма могут содержать вложения документов Microsoft Office, находящихся под оружием, или просто ссылки на такие документы, которые находятся в облачном хранилище - например, Microsoft OneDrive.

    выполнение
    После того, как жертва загрузит и откроет зараженный документ, и вредоносные макросы будут включены, PowerShell запускается и используется для загрузки и запуска полезной нагрузки QakBot с сервера C2.

    В случае доступа RDP действительные учетные записи используются для обеспечения устойчивости в сети

    Уклонение от защиты:
    У QBot есть хитрый трюк, позволяющий избежать обнаружения: он проверяет наличие самой новой версии и заменяет текущую версию новой. Исполняемые файлы подписываются украденной или поддельной подписью. Начальная полезная нагрузка, загруженная PowerShell, сохраняется на сервере с расширением PNG. Более того, после выполнения он заменяется легитимным файлом calc.exe.

    Чтобы избежать обнаружения, QakBot также использует explorer.exe для выполнения метода внедрения процесса.

    Как уже упоминалось, полезная нагрузка ProLock скрыта внутри файла BMP или JPG и может также рассматриваться как метод уклонения от защиты.

    Доступ к учетным данным
    QakBot обладает возможностями кейлогера, но также может загружать и запускать дополнительные сценарии, такие как Invoke-Mimikatz, версия пресловутого Mimikatz для PowerShell. Это позволяет противнику использовать метод сброса учетных данных.

    открытие
    После получения привилегированных учетных данных операторы ProLock начинают операции по обнаружению сети. Они включают, но не ограничиваются ими, сканирование портов и разведку Active Directory.

    В дополнение к широкому спектру сценариев злоумышленники используют AdFind - еще один популярный инструмент, используемый многими группами вымогателей - для запросов к Active Directory.

    Боковое движение
    Многие противники предпочитают RDP для бокового перемещения по сетям, и ProLock не является исключением. Злоумышленники имеют в своем арсенале пакетные сценарии для обеспечения доступа RDP на целевых хостах

    Для удаленного выполнения сценариев операторы ProLock используют PsExec из Sysinternals Suite, еще одного распространенного инструмента.

    Для запуска ProLock на хостах злоумышленники использовали WMIC - интерфейс командной строки для инструментария управления Windows - который также становится все более популярным среди операторов вымогателей.
    Коллекция
    Как и многие другие группы, операторы ProLock собирают данные из скомпрометированных сетей, чтобы повысить свои шансы на удовлетворение своих требований о выкупе. До эксфильтрации собранные данные архивируются с помощью 7Zip.

    эксфильтрации
    Для эксфильтрации операторы ProLock используют Rclone, инструмент командной строки, способный синхронизировать файлы с различными поставщиками облачного хранилища, такими как OneDrive, Google Drive, Mega и т. д.

    Влияние
    После фильтрации данных группа развертывает ProLock в масштабах всего предприятия. PowerShell используется для извлечения двоичного файла из файла PNG или JPG и вставки его в память

    ProLock убивает процессы из встроенного списка (что интересно, он использует только шесть букв из имени процесса, например «winwor») и останавливает службы, в том числе связанные с безопасностью, такие как CSFalconService (CrowdStrike Falcon), с помощью команды net stop.

    Затем, как и многие другие семейства вымогателей, он использует vssadmin для удаления теневых копий томов и ограничения их размера, поэтому новые копии не создаются

    ProLock добавляет расширение .proLock, .pr0Lock или .proL0ck к каждому зашифрованному файлу и помещает [HOW TO RECOVER FILES]].TXT в каждую папку - файл с инструкциями о том, как расшифровать файлы, включая ссылку на сайт, где находится жертва необходимо ввести уникальный идентификатор и получить информацию об оплате

    Каждый образец ProLock имеет встроенную сумму выкупа - в данном случае это было 35 биткойнов, или примерно 312 000 долларов.

    https://www.group-ib.com/blog/prolock

    статья в русской редакции на Хабре:
    https://habr.com/ru/company/group-ib/blog/502770/


Войдите или Зарегистрируйтесь чтобы комментировать.