LockBit Green и фишинговые атаки на организации

Введение

За последние месяцы мы опубликовали несколько закрытых отчетов на различные темы — в частности, про атаки вредоносного ПО в Бразилии, фишинг от имени руководителей высшего звена, активность групп Andariel и LockBit и т. д. В этой статье мы рассказываем о шифровальщике LockBit и фишинговых кампаниях, нацеленных на бизнес, и приводим выдержки из соответствующих закрытых отчетов. Если у вас возникли вопросы или вы хотите получить дополнительную информацию о нашем сервисе информирования о киберугрозах, пишите по адресу crimewareintel@kaspersky.com.

Фишинговые атаки и наборы для фишинга

Недавно мы выявили кампанию по компрометации корпоративной электронной почты (BEC), которая проводится по меньшей мере с третьего квартала 2022 года. Она направлена на немецкоязычные компании в Германии, Австрии и Швейцарии. Как и во многих других BEC-кампаниях, для атаки злоумышленники регистрируют домены, которые только на одну или две буквы отличаются от доменов организаций-целей. При этом по неизвестной причине адрес в заголовке Reply-to (адрес, на который отправитель хочет получать ответ) отличается от адреса отправителя в заголовке From. Адрес в заголовке Reply-to не использует домен, имитирующий домен атакуемой организации.

В отличие от целевых атак с компрометацией корпоративной почты, которые требуют серьезной подготовки, обычные фишинговые кампании довольно примитивны, поэтому их можно автоматизировать. Пример такой автоматизации — набор для фишинга (фиш-кит) SwitchSymb.

В конце января этого года резко выросло число писем, рассылаемых в рамках одной из фишинговых кампаний, которые мы отслеживаем. Кампания нацелена на корпоративных пользователей. При анализе полученных фишинговых писем мы обнаружили ссылку на «форму для подтверждения адреса электронной почты». Перейдя по ней, получатель попадает на страницу с доменом, имитирующим домен организации. Фиш-кит, к которому относится эта страница, используется для проведения нескольких кампаний одновременно. Это легко увидеть, если изменить URL-адрес страницы — в частности, содержащиеся в нем данные атакуемого пользователя: дизайн фишинговой страницы также изменится. При этом на сервере выполняется только один экземпляр фиш-кита.

Пример фишинговой страницы, созданной с помощью фиш-кита SwitchSymb

LockBit Green

LockBit — одна из наиболее активных действующих групп вымогателей, которая атакует компании по всему миру. В разное время злоумышленники использовали в своем зловреде код других групп, например BlackMatter и DarkSide. Этот подход облегчает возможным партнерам задачу управления шифровальщиками.

В феврале этого года мы нашли новый вариант, LockBit Green, основанный на коде прекратившей существование группы Conti. Мы сравнили код двух шифровальщиков с помощью Kaspersky Threat Attribution Engine (KTAE) и выяснили, что LockBit Green содержит 25% исходного кода Conti.

Сходства между кодом LockBit Green и Conti, выявленные в KTAE

В позаимствованном у Conti коде три фрагмента стоят отдельного упоминания: записка с требованием выкупа, параметры командной строки и схема шифрования. В использовании текста записки почти нет смысла. Мы не смогли найти убедительное объяснение, почему злоумышленники так поступили. В параметры командной строки LockBit были добавлены параметры из кода Conti, готовые к использованию. В целом, в LockBit Green поддерживаются следующие параметры командной строки:

Наконец, злоумышленники позаимствовали у Conti схему шифрования. Они используют кастомную реализацию алгоритма ChaCha8, которая шифрует файлы с помощью случайно сгенерированных ключа и одноразового кода, для хранения и шифрования которых применяется жестко закодированный открытый ключ RSA.

Различия в коде двух семейств

Мультиплатформенный LockBit

Недавно мы обнаружили ZIP-файл, загруженный в мультисканерный сервис, который содержал образцы LockBit для разных архитектур: Apple M1, ARM v6, ARM v7, FreeBSD и др. Разумеется, у нас возник вопрос: на что похож их код?

Чтобы ответить на него, мы использовали Kaspersky Threat Attribution Engine (KTAE). Простого анализа ZIP-файла хватило, чтобы увидеть, что все образцы происходят от версии LockBit Linux/ESXi, о которой мы писали в закрытом отчете.

Общий с LockBit Linux исходный код

В ходе дальнейшего анализа мы пришли к выводу, что LockBit тестирует варианты шифровальщика для различных архитектур, но еще не использует их в реальных атаках. Например, образец для macOS не имеет подписи, и в таком виде не сможет запуститься в целевой системе. Кроме того, для шифрования строк используется очень простой метод — операция XOR с однобайтовым ключом.

Тем не менее находка позволяет предположить, что в скором будущем LockBit начнет атаковать различные платформы.

Заключение

Мир киберкриминала огромен, в нем участвует множество групп, состав которых постоянно меняется. Злоумышленники охотно используют чужой код, а их партнеры (вероятно, другие группы) приобретают разные типы вредоносного ПО в зависимости от цели. Операторы зловредов улучшают свои разработки, добавляют в них новые функции и версии для разных (прежде неподдерживаемыех) платформ. Эта тенденция наблюдается уже некоторое время.

Когда возникает инцидент безопасности, важно понимать, кто за ним стоит. Это поможет сконцентрировать усилия по реагированию и, возможно, предотвратить ущерб в будущем. Инструмент Kaspersky Threat Attribution Engine помогает связать код вредоносного ПО с конкретной преступной группой и выявить сходства между разными семействами зловредов. Эта информация, помимо прочего, помогает выбрать правильные меры для предотвращения инцидентов.

Киберпреступники часто используют старые, но эффективные методы — например, фишинг. Осведомленность об актуальных тенденциях в мире киберкриминала поможет вам защититься от угроз, таких как компрометация корпоративной почты.

Чтобы защитить себя от таких атак, изучайте отчеты об угрозах. Если вы хотите получать свежую информацию о новейших тактиках, техниках и процедурах злоумышленников или задать вопрос о наших приватных отчетах, пишите по адресу crimewareintel@kaspersky.com.