Как «профессиональные» шифровальщики дают толчок новым группам вымогателей

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50

Введение

Кибервымогатели далеко не всегда создают вредоносное ПО сами. Они могут купить образец вредоносного ПО в даркнете, примкнуть к состоявшейся группе или найти код программы-шифровальщика в свободном доступе. Последний сценарий встречается довольно часто — немало исходных кодов или попадает в общий доступ в результате .

Вооружившись и новой (иногда слегка модифицированной) версией программы-шифровальщика, злоумышленники способствуют распространению вредоносной активности, пополняя список своих жертв.

ransomware-report-featured-1200x600.jpg

SEXi​

В апреле этого года вымогатели атаковали компанию с помощью нового шифровальщика, который они назвали SEXi. Название зловреда подсказывает, что злоумышленников интересуют в основном гипервизоры ESXi. Во всех проанализированных случаях жертвы использовали неподдерживаемые версии ESXi, однако существуют различные гипотезы о том, как именно вредоносная нагрузка была доставлена в систему.

Злоумышленники используют две модификации шифровальщика — в зависимости от типа атакуемой платформы. Обе созданы на основе утекших образцов вредоносного ПО: модифицированный Babuk нацелен на устройства с Linux, а вариация LockBit — с Windows. Это первый обнаруженный случай, когда одна группа вымогателей пользуется разными видами шифровальщиков на разных целевых платформах.

Эта группа отличается и своим особым подходом к взаимодействию с жертвой. Обычно вымогатели оставляют записку с адресом электронной почты для связи или со ссылкой на сайт с украденными данными.

Но жертвы этой группы получали сообщение с идентификатором пользователя мессенджера Session, с которым нужно связаться для разблокировки данных. Злоумышленники многократно пользовались этим идентификатором в разных атаках, не утруждаясь созданием уникальных учетных записей для связи с каждой из своих жертв. Это, как и отсутствие собственного TOR-сайта для публикации утечек, указывает на их недостаточный профессионализм.

Key Group

Группа SEXi отличилась применением модификаций утекших шифровальщиков из двух разных семейств. Однако другие злоумышленники пошли еще дальше. Например, относительно молодая группа Key Group, также известная как keygroup777, появившаяся в апреле 2022 года, использует шифровальщики из как минимум восьми разных семейств. Мы перечислили их на схеме ниже.


Key Group: хронология использования билдеров шифровальщиков на основе утекшего кода

Атрибутировать атаки с использованием различных вариантов программ-вымогателей к Key Group позволили записки с требованием выкупа. Всего за два с небольшим года активности группа неоднократно корректировала свои тактики, техники и процедуры (TTP) — фактически они менялись с каждым новым вариантом шифровальщика.

Например, в механизме закрепления в системе всегда использовался реестр, однако в каждом семействе этот механизм был реализован по-своему. Большинство создавало ключ реестра для автозапуска, а некоторые добавляли себя в папку автозагрузки.
Например, UX-Cryptor добавлялся в реестр так:

1
2
3
4
5
6
7
8
9
HKU\$usersid\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell" = "$selfpath"
HKU\$usersid\Software\Microsoft\Windows\CurrentVersion\Run
"WindowsInstaller" = "$selfpath -startup"
"MSEdgeUpdateX" = "$selfpath"
HKU\$usersid\Software\Microsoft\Windows\CurrentVersion\RunOnce
"System3264Wow" = "$selfpath --init"
"OneDrive10293" = "$selfpath /setup"
"WINDOWS" = "$selfpath --wininit"

А модификация шифровальщика Chaos копировала себя в $user\$appdata\cmd.exe и запускала новый процесс, который в свою очередь создавал новый файл в папке автозагрузки: $user\$appdata\Microsoft\Windows\Start Menu\Programs\Startup\cmd.url, где был прописан путь к файлу-шифровальщику: URL=file:///$user\$appdata\cmd.exe.

Русскоязычные группы чаще всего работают за пределами России. Но Key Group — одно из редких исключений из этого правила. В целом эти злоумышленники, как и SEXi, не отличаются высоким профессионализмом — им явно не хватает комплексных навыков.

Например, основным каналом для связи с их командным сервером служит репозиторий GitHub, что значительно упрощает отслеживание, а для коммуникаций внутри группы и связи с жертвами злоумышленники используют Telegram вместо выделенного сервера в сети TOR.

Mallox

Mallox — вариация шифровальщика, которая появилась в 2021 году. В 2022 году ее авторы запустили партнерскую программу. Достоверно неизвестно, как именно они получили исходный код: написали самостоятельно, нашли в открытом доступе или купили, как они сами утверждают. С учетом того, что модификация Mallox еще не изучена так хорошо, как LockBit или Conti, и информации о ней мало, мы все же решили рассмотреть ее в этой статье.

Начав деятельность как самостоятельная группа, Mallox запустила партнерскую программу вскоре после появления. Что интересно, группа сотрудничает только с опытными русскоязычными злоумышленниками — англоязычные партнеры их не интересуют, так же как и новички в этой сфере. Кроме того, у них есть строгие требования к выбору организаций, которые должны атаковать их партнеры: это компании с прибылью не менее 10 млн долларов США, исключая больницы и образовательные учреждения.

У каждого партнера Mallox есть свой идентификатор, что позволило нам собрать статистику операций в их партнерской сети. В 2023 году у группы было 16 действующих партнеров, что объясняет ее возросшую активность (согласно датам создания PE-файлов, максимальное количество обнаруженных образцов отмечалось весной и осенью 2023 года).

Безымянный.jpg
Количество обнаруженных образцов Mallox по датам создания PE-файлов

В 2024 году из первоначальных партнеров группы активными остались только восемь, а новичков не было обнаружено. За исключением этого, Mallox — типичный , с собственным сайтом для публикации украденных данных, сервером в сети TOR и так далее.

Заключение

Получение шифровальщика и раньше не составляло труда для кибервымогателей: они могли, например, взять на вооружение доступные в сети решения или присоединиться к группе злоумышленников и стать их исполнителем.

Поначалу атакующие использовали инструменты вроде Hidden Tear — обнаружить их было просто, а ошибки кода позволяли без труда восстановить зашифрованные данные. Их основной целью были обычные потребители, а не крупные организации. Однако теперь все по-другому: вымогатели ищут крупные цели и используют «профессиональные» шифровальщики для атак на частный бизнес, корпорации, больницы и другие учреждения.

Такие инструменты, в числе прочего, эффективнее в плане производительности, возможностей настройки, поддерживаемых команд и платформ. Но если раздобыть «профессиональный» шифровальщик довольно просто, то процесс изучения организации-жертвы и внедрения в ее инфраструктуру может оказаться слишком времязатратным и порой непосильным для новичков.

На примере групп Key Group и SEXi мы видим, что злоумышленники, использующие утекший код, чаще всего не отличаются высоким профессионализмом. Своим успехом они обязаны либо грамотно организованной партнерской сети (как в случае с Key Group), либо удачному выбору ниши, в которой им удалось эффективно развернуть шифровальщик (SEXi). В этих двух сценариях утечка или публикация кода шифровальщиков представляют угрозу для организаций и отдельных пользователей.


 
  • Теги
    вредоносное по даркнет шифровальщик
  • Сверху Снизу