Отчеты о crimeware

Crimeware: самораспространение и эксплуатация драйверов

Введение

Дурной пример заразителен. Эта старая поговорка, аналог которой есть в разных языках, вполне применима и к разработчикам шифровальщиков. В предыдущих статьях мы уже писали о растущей популярности платформонезависимых языков и поддержке ESXi, а в одной из недавних публикаций мы рассказали об уникальных методах распространения шифровальщиков.

В прошлом месяце мы писали о двух новых шифровальщиках, которые теперь используют собственные методы распространения в сети. Мы также рассказали о некоторых случаях эксплуатации уязвимых драйверов — эта тенденция тоже может стать популярной среди злоумышленников. В этой статье мы публикуем выдержки из этих отчетов.

Если у вас возникли вопросы или вы хотите получить дополнительную информацию о нашем сервисе информирования о киберугрозах, пишите по адресу crimewareintel@kaspersky.com.

Немного статистики по атакам шифровальщиков

За первые десять месяцев 2022 года доля пользователей, пострадавших от целевых атак шифровальщиков, среди всех пользователей, столкнувшихся с вредоносными программами, возросла почти вдвое по сравнению с аналогичным периодом прошлого года и составила 0,026%.

Доля пользователей, атакованных целевыми шифровальщиками, январь–октябрь 2021 г. и январь–октябрь 2022 г. (скачать)

LockBit

LockBit — одно из самых популярных, продвинутых и стремительно развивающихся современных семейств шифровальщиков. Недавно мы заметили на сайте, позволяющем конструировать инструментарий на основе LockBit, новую функцию:

Новая функциональность, предлагаемая разработчиками LockBit

Помимо популярного варианта распространения с помощью PsExec, в LockBit теперь есть механизм «самораспространения» (self-spread). Нам, конечно же, захотелось узнать о нем больше, особенно о принципах его работы.

Шифровальщик устанавливается на зараженное устройство в виде службы. Эта служба вызывает функцию netapi32.DsGetDcNameW, чтобы получить информацию о том, к какому домену принадлежит зараженная машина, и создает именованный канал. Завершив эту операцию, модуль создает дамп учетных данных операционной системы, получая дескрипторы из explorer.exe и lsass.exe через вышеупомянутый канал.

Больше никаких действий не предпринимается. Как видим, самораспространения здесь нет — вредоносное ПО лишь создает дамп учетных данных. Хотя этот подход, избавляющий от необходимости использовать Mimikatz и аналогичные инструменты, укладывается в популярную тенденцию расширения функциональных возможностей шифровальщиков для большей автономности, зловред не распространяется самостоятельно.

Play

Play — это новый шифровальщик, который мы обнаружили совсем недавно. Его код совершенно не похож ни на один из известных нам образцов. К тому же он сильно обфусцирован, что затрудняет его анализ. Play только находится на стадии разработки. У злоумышленников пока нет своего сайта, и жертвам приходится общаться с ними по электронной почте, адрес которой вымогатели оставляют в записке с требованием выкупа. Тем не менее этот зловред, как и некоторые другие новые шифровальщики, способен распространяться самостоятельно.

Play собирает IP-адреса из подсети, в которой находится, и пытается обнаружить SMB-ресурсы с помощью функции NetShareEnum(), в результате чего генерируется ARP-трафик (см. скриншот, созданный утилитой Wireshark). Целью этого действия является распространение шифровальщика на другие устройства в этой сети.

ARP-запросы Play

После обнаружения SMB-ресурса шифровальщик устанавливает подключение и пытается примонтировать обнаруженный ресурс, скопироваться туда и запуститься. Это наглядно показано на приведенном ниже скриншоте Wireshark.

Соединения по протоколу SMB

Эксплуатация драйверов

В драйверах есть уязвимости, которыми могут воспользоваться преступники. Один из таких драйверов — Anti-Rootkit, разработанный компанией Avast. Несмотря на то что этот драйвер раньше использовался шифровальщиком AvosLocker, об уязвимостях, которые эксплуатируются сейчас (CVE-2022-26522 и CVE-2022-26523), стало известно лишь недавно. Они позволяют атакующим повысить свои права в целевой системе или сбежать из песочницы. Об этом подробно писала SentinelLabs. В начале 2022 года уязвимости были закрыты. Нам известно, что сейчас эти уязвимости эксплуатируют, по крайней мере, шифровальщики из семейств AvosLocker и Cuba.

Эксплуатация уязвимых драйверов имеет несколько преимуществ. Во-первых, она позволяет отключить другие защитные решения, установленные в системе. Во-вторых, установленное защитное решение генерирует меньше оповещений. В-третьих, эксплуатируя драйвер, злоумышленники могут завершать запущенные процессы.

Функция завершения процессов

Заключение

Разработчики шифровальщиков пристально следят за работой своих конкурентов. Если кто-то из них внедряет новую полезную функциональность, велика вероятность того, что это сделают и другие, чтобы новые версии были привлекательными для партнеров. Самораспространяющиеся шифровальщики — характерный пример такого поведения.

По этой же причине мы считаем, что уязвимые драйверы — еще один вектор атаки, который в дальнейшем будут использовать все больше злоумышленников.

Чтобы защитить себя от таких атак, изучайте отчеты об угрозах. Если вы хотите получать свежую информацию о новейших тактиках, методах и процедурах злоумышленников или задать вопрос о наших приватных отчетах, пишите по адресу crimewareintel@kaspersky.com.

Crimeware: самораспространение и эксплуатация драйверов

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике