Введение
Дурной пример заразителен. Эта старая поговорка, аналог которой есть в разных языках, вполне применима и к разработчикам шифровальщиков. В предыдущих статьях мы уже писали о растущей популярности платформонезависимых языков и поддержке ESXi, а в одной из недавних публикаций мы рассказали об уникальных методах распространения шифровальщиков.
В прошлом месяце мы писали о двух новых шифровальщиках, которые теперь используют собственные методы распространения в сети. Мы также рассказали о некоторых случаях эксплуатации уязвимых драйверов — эта тенденция тоже может стать популярной среди злоумышленников. В этой статье мы публикуем выдержки из этих отчетов.
Если у вас возникли вопросы или вы хотите получить дополнительную информацию о нашем сервисе информирования о киберугрозах, пишите по адресу crimewareintel@kaspersky.com.
Немного статистики по атакам шифровальщиков
За первые десять месяцев 2022 года доля пользователей, пострадавших от целевых атак шифровальщиков, среди всех пользователей, столкнувшихся с вредоносными программами, возросла почти вдвое по сравнению с аналогичным периодом прошлого года и составила 0,026%.
Доля пользователей, атакованных целевыми шифровальщиками, январь–октябрь 2021 г. и январь–октябрь 2022 г. (скачать)
LockBit
LockBit — одно из самых популярных, продвинутых и стремительно развивающихся современных семейств шифровальщиков. Недавно мы заметили на сайте, позволяющем конструировать инструментарий на основе LockBit, новую функцию:
Новая функциональность, предлагаемая разработчиками LockBit
Помимо популярного варианта распространения с помощью PsExec, в LockBit теперь есть механизм «самораспространения» (self-spread). Нам, конечно же, захотелось узнать о нем больше, особенно о принципах его работы.
Шифровальщик устанавливается на зараженное устройство в виде службы. Эта служба вызывает функцию netapi32.DsGetDcNameW, чтобы получить информацию о том, к какому домену принадлежит зараженная машина, и создает именованный канал. Завершив эту операцию, модуль создает дамп учетных данных операционной системы, получая дескрипторы из explorer.exe и lsass.exe через вышеупомянутый канал.
Больше никаких действий не предпринимается. Как видим, самораспространения здесь нет — вредоносное ПО лишь создает дамп учетных данных. Хотя этот подход, избавляющий от необходимости использовать Mimikatz и аналогичные инструменты, укладывается в популярную тенденцию расширения функциональных возможностей шифровальщиков для большей автономности, зловред не распространяется самостоятельно.
Play
Play — это новый шифровальщик, который мы обнаружили совсем недавно. Его код совершенно не похож ни на один из известных нам образцов. К тому же он сильно обфусцирован, что затрудняет его анализ. Play только находится на стадии разработки. У злоумышленников пока нет своего сайта, и жертвам приходится общаться с ними по электронной почте, адрес которой вымогатели оставляют в записке с требованием выкупа. Тем не менее этот зловред, как и некоторые другие новые шифровальщики, способен распространяться самостоятельно.
Play собирает IP-адреса из подсети, в которой находится, и пытается обнаружить SMB-ресурсы с помощью функции NetShareEnum(), в результате чего генерируется ARP-трафик (см. скриншот, созданный утилитой Wireshark). Целью этого действия является распространение шифровальщика на другие устройства в этой сети.
ARP-запросы Play
После обнаружения SMB-ресурса шифровальщик устанавливает подключение и пытается примонтировать обнаруженный ресурс, скопироваться туда и запуститься. Это наглядно показано на приведенном ниже скриншоте Wireshark.
Соединения по протоколу SMB
Эксплуатация драйверов
В драйверах есть уязвимости, которыми могут воспользоваться преступники. Один из таких драйверов — Anti-Rootkit, разработанный компанией Avast. Несмотря на то что этот драйвер раньше использовался шифровальщиком AvosLocker, об уязвимостях, которые эксплуатируются сейчас (CVE-2022-26522 и CVE-2022-26523), стало известно лишь недавно. Они позволяют атакующим повысить свои права в целевой системе или сбежать из песочницы. Об этом подробно писала SentinelLabs. В начале 2022 года уязвимости были закрыты. Нам известно, что сейчас эти уязвимости эксплуатируют, по крайней мере, шифровальщики из семейств AvosLocker и Cuba.
Эксплуатация уязвимых драйверов имеет несколько преимуществ. Во-первых, она позволяет отключить другие защитные решения, установленные в системе. Во-вторых, установленное защитное решение генерирует меньше оповещений. В-третьих, эксплуатируя драйвер, злоумышленники могут завершать запущенные процессы.
Функция завершения процессов
Заключение
Разработчики шифровальщиков пристально следят за работой своих конкурентов. Если кто-то из них внедряет новую полезную функциональность, велика вероятность того, что это сделают и другие, чтобы новые версии были привлекательными для партнеров. Самораспространяющиеся шифровальщики — характерный пример такого поведения.
По этой же причине мы считаем, что уязвимые драйверы — еще один вектор атаки, который в дальнейшем будут использовать все больше злоумышленников.
Чтобы защитить себя от таких атак, изучайте отчеты об угрозах. Если вы хотите получать свежую информацию о новейших тактиках, методах и процедурах злоумышленников или задать вопрос о наших приватных отчетах, пишите по адресу crimewareintel@kaspersky.com.
Crimeware: самораспространение и эксплуатация драйверов