Key Group: еще одна группа вымогателей, использующая слитые билдеры

Key Group, или keygroup777, — это финансово-мотивированная группа вымогателей, которая в основном преследует российских пользователей. Группа известна тем, что ведет переговоры с жертвами в Telegram и использует билдер шифровальщика Chaos.

Первый публичный отчет об активности Key Group в 2023 году выпустила компания BI.ZONE — вендор решений в сфере кибербезопасности: злоумышленники привлекли к себе внимание, когда в атаке на российского пользователя оставили записку идеологического характера, в которой не требовали денег. Однако, по данным нашей телеметрии, группа действовала и в 2022 году. При этом и до и после атаки, освещенной в отчете BI.ZONE, злоумышленники требовали перевести деньги на Bitcoin-кошелек.

Мы отследили активность Key Group с начала их атак и обнаружили, что группа использовала не только Chaos, но и другие слитые билдеры шифровальщиков. Проанализировав созданные с их помощью образцы, мы смогли найти на GitHub загрузчики и вредоносные URL, которые показали связь группы с ранее неизвестными злоумышленниками.

Хронология активности Key Group

Первые варианты шифровальщиков из арсенала Key Group были обнаружены в апреле 2022 года. В то время группа использовала исходный код Xorist.

В августе 2022 года Key Group добавила в свой инструментарий билдер Chaos. Примечательно, что 30 июня 2022 года создатель Chaos опубликовал сообщение о запуске партнерской программы RaaS (Ransomware-as-a-Service).

В варианте Chaos к зашифрованным файлам добавлялось новое расширение .huis_bn, а в записке с требованиями злоумышленники просили отправить сообщение в Telegram. Эта записка содержала информацию как на русском, так и на английском языках и распространялась под названием «КАК РАСШИФРОВАТЬ ФАЙЛЫ»:

Следующие образцы Key Group на основе Chaos были обнаружены в январе 2023 года. На протяжении всего года группа использовала этот шифровальщик, меняя в основном только содержимое записки.

С апреля 2023 года злоумышленники были активны на форуме DarkStore в даркнете. Они атаковали Telegram-каналы спам-рейдами и тестировали общедоступный троянец удаленного доступа NjRat, который имеет функции кейлоггера, стилера, реверс-шелла и распространения через USB.

Летом 2023-го был обнаружен новый образец Chaos от Key Group под названием warnep.exe (MD5: C2E1048E1E5130E36AF297C73A83AFF6).

Содержимое записки сильно отличалось от предыдущих и носило идеологический характер. Key Group больше не указывала контактную информацию, но объявляла о своих мотивах.

В августе 2023-го мы обнаружили использование группой шифровальщика Annabelle (MD5: 05FD0124C42461EF553B4B17D18142F9).

Шифровальщик Annabelle назван в честь американского фильма ужасов «Проклятие Аннабель». Образец, замеченный в атаках Key Group, шифрует файлы и содержит блокировщик MBR (MBR-Locker, MD5: D06B72CEB10DFED5ECC736C85837F08E), а также следующие встроенные техники обхода средств защиты.

1. Выключение Windows Firewall:
   
   NetSh Advfirewall set allprofiles state off

   1	NetSh Advfirewall set allprofiles state off

2. Отключение Windows Defender:
   
   HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\ "DisableAntiSpyware" = 1 "DisableRealtimeMonitoring" = 1

   1 2 3

   HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\ "DisableAntiSpyware" = 1 "DisableRealtimeMonitoring" = 1

3. Отключение UAC:
   
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System "EnableLUA" = 0

   1 2	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System   "EnableLUA" = 0

4. Отключение редактора реестра:
   
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System "DisableRegistryTools" = 0

   1 2	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System   "DisableRegistryTools" = 0

5. Отключение команды Run из меню пуска Windows:
   
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoRun" = 1

   1 2	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer   "NoRun" = 1

6. Модификация Image File Execution Options путем установки значения RIP вместо пути к отладчику для некоторых процессов, что мешает их корректному запуску:
   
   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[process] "Debugger" = "RIP"

   1 2	HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[process]   "Debugger" = "RIP"

7. Удаление теневых копий:
   
   "vssadmin delete shadows /all /quiet"

   1	"vssadmin delete shadows /all /quiet"

Шифровальщик добавляет расширение .Keygroup777tg.EXE к зашифрованным файлам. После шифрования он перезагружает компьютер и отображает следующую заставку:

Примерно в тот же период в атаках Key Group был обнаружен образец шифровальщика Slam (MD5: 09CE91B4F137A4CBC1496D3791C6E75B). Билдер Slam также стал общедоступным еще в 2021 году.

Шифровальщик Slam использует алгоритм шифрования AES-CBC. Также он использует сервис IP Logger для отслеживания зараженных жертв.

После выполнения, шифровальщик кодировал имена файлов с помощью Base64 и добавлял расширение .keygroup777tg.

В сентябре 2023 года был обнаружен вайпер на основе билдера RuRansom (MD5: 1FED852D312031974BF5EB988904F64E).

RuRansom — это вайпер, появившийся в 2022 году и нацеленный на Россию. Вредоносная программа написана на .NET и использует алгоритм шифрования AES-CBC для шифрования файлов. Вариант Key Group распространяется под именем «Россия-обновление.docs.exe» с запиской, измененной под цели группы:

Примерно в то же время, что и экземпляры RuRansom, брендированные под Key Group, в атаках злоумышленников был замечен образец еще одного вымогателя — UX-cryptor. Он также написан на .NET (MD5: 6780495DAD7EB372F1A660811F4894A6).

Вместо шифрования файлов образец завершает процесс explorer.exe:

Он устанавливает следующий текст на текущем экране, используя метод .NET System.Windows.Forms.Label.set_Text:

После этого UX-Cryptor дополнительно сохраняет записку с требованием выкупа в файл info-0v92.txt, используя перенаправление вывода команды echo:

UX-Cryptor включает несколько методов закрепления и защиты от обнаружения. Например, он перезаписывает ключ реестра Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU:

Ключ RunMRU используется специалистами по расследованию компьютерных инцидентов для изучения команд, выполненных через утилиту Run.

В феврале 2024 года группа Key Group переключилась с Chaos на шифровальщик Hakuna Matata (MD5: DA09FCF140D3AAD0390FB7FAF7260EB5). Билдер Hakuna Matata был опубликован в даркнете в июле 2023 года.

Вариант Hakuna Matata шифрует файлы с помощью AES-CBC и добавляет расширение из пяти произвольных символов. Ниже приведен фрагмент процесса выполнения Hakuna Matata в нашей песочнице.

После шифрования образец сохраняет в системе файл keygroup777.txt и отсылает к нему в сообщении, установленном в качестве обоев на рабочем столе:

Содержимое записки:

В начале марта 2024 года мы обнаружили образец Key Group, который основан на шифровальщике Judge/NoCry (MD5: 56F5A95FFA6F89C24E0880C519A2AA50).

Вариант NoCry шифрует файлы с помощью AES-256-CBC, добавляя к ним расширение .Keygroup777tg. Ключ, который используется для шифрования, генерируется на основе данных системы жертвы и отправляется на сервер C2 в открытом виде, поэтому файлы можно дешифровать без участия атакующих.

Стоит отметить, что вместо адреса сервера C2 Key Group указала ссылку на Telegram-канал hxxps://t[.]me/s/SBUkr, к которой затем добавлялись данные жертвы с ключом для шифрования в следующем формате:

Тематика канала не связана с вымогателями и представляет собой новости политического характера. Такая схема не предполагает получения данных атакующими.

Полная хронология использования Key Group различных семейств шифровальщиков представлена ниже.

Доставка и заражение

Для доставки шифровальщиков Chaos и Xorist на компьютер жертвы Key Group использовала многоступенчатые загрузчики.

Мы обнаружили LNK-файл, который, вероятно, распространялся через фишинговые письма. LNK-файл содержал обфусцированную команду PowerShell, которая загружала SFX-архив (самораспаковывающийся архив) с удаленного ресурса:

Деобфусцированная команда:

SFX-архив при распаковке сохранял еще один загрузчик в систему. Он загружал другой SFX-архив, содержащий образец шифровальщика Chaos (MD5: C910DA0BAA2E08CEFCE079D1F7CB3469), а также отдельный загрузчик, скачивающий образец шифровальщика Xorist (MD5: E0C744162654352F5E048B7339920A76).

Содержимое записок двух шифровальщиков было одинаковым.

В октябре 2022 года мы обнаружили еще один загрузчик, который доставлял вариант Chaos (MD5: F93695564B97F03CC95CA242EDCFB5F8). Загрузчик использует метод .NET WebClient.DownloadData для загрузки шифровальщика (MD5: D655E77841CF6DB3008DCD60C9C5EB18) из репозитория GitHub:

Во время изучения этого репозитория мы нашли уже знакомые нам вайпер RuRansom, шифровальщик Hakuna Matata, а также образец J-Ransomware/LoveYou и троянец удаленного доступа NjRat.

Методы закрепления

Xorist

Первый обнаруженный образец Key Group, шифровальщик Xorist, закреплялся в системе, изменяя ассоциацию расширений файлов. При открытии файла с расширением .huis_bn, которое добавлялось к зашифрованным файлам, выполнялся запуск шифровальщика:

Также шифровальщик добавлял себя в автозапуск:

Chaos

Шифровальщик Chaos (MD5: C910DA0BAA2E08CEFCE079D1F7CB3469) копировал себя в $user\$appdata\cmd.exe и запускал этот файл как новый процесс. Новый процесс в свою очередь создавал новый файл в папке автозапуска: $user\$appdata\Microsoft\Windows\Start Menu\Programs\Startup\cmd.url, содержащий следующее:

Annabelle

Шифровальщик Annabelle добавлял себя в ключи реестра Run и Winlogon:

UX-Cryptor

UX-Cryptor добавлял себя в следующие ключи реестра, чтобы сохранить себя в системе:

Дополнительно он добавлял следующие имена исполняемых файлов в автозапуск:

Judge/NoCry

Образец NoCry также имеет функцию добавления себя в папку автозапуска:

Жертвы

Key Group в основном атакует русскоговорящих пользователей. Записки с заявлениями часто были написаны на русском языке или содержали перевод на русский.

Об атакующих

Расширение .huis_bn, которое добавлялось к зашифрованным файлам в первых версиях образцов Key Group, Xorist и Chaos, отсылает к русскоговорящей закрытой группе huis, известной в теневом сообществе. Группа в основном совершала спам-рейды на Telegram-каналы. Мы предполагаем, что Key Group — это дочерний проект группы huis. На данный момент группа не активна и, согласно последнему сообщению в Telegram, была ребрендирована.

Мы также проверили репозиторий GitHub, с которого загружались шифровальщики и вайперы. На аккаунт max444432 подписан аккаунт hxxps://github[.]com/json1c. Его описание содержит следующий контакт в Telegram: hxxps://t[.]me/json1c.

Пользователь Telegram Bloody-Lord Destroyer-Crew, также известный как «блади» и bloody в теневом сообществе, и являлся владельцем группы huis.

В последних версиях шифровальщиков в записках в качестве контакта указывался Telegram-аккаунт @[redacted] (DarkZeus), который является одним из администраторов канала Key Group:

Речь идет о закрытом Telegram-канале. Ранее у группы был также открытый канал @[redacted], который злоумышленники использовали для коммуникации с жертвами, однако он более недоступен. В нем группа публикует новости о Key Group, новости с других каналов как технического, так и идеологического характера, утечки из других Telegram-источников, объявления о спам-рейдах.

В репозитории GitHub, который злоумышленники используют для распространения вредоносного ПО, мы также нашли образцы telegram-raid-botnet.exe (Hakuna Matata) и NoCry, загруженные в феврале 2024-го. Название первого образца перекликается с деятельностью группы huis.

Коммиты загрузки образцов в репозиторий RMS2

В одной из записок с требованием выкупа (MD5 Chaos: 7E1577B6E42D47B30AE597EEE720D3B1) злоумышленники просили not to touch Nikita’s channels, bloody and nacha («не трогать каналы Никиты, bloody и nacha»), что, опять же, указывает на связь с huis:

Выводы

Как мы видим, Key Group, как и многие хактивисты, не разрабатывает собственное вредоносное ПО, а активно использует слитые билдеры программ-вымогателей, а основным каналом C2 является репозиторий GitHub, что позволяет легко отследить их деятельность. При этом стоит отметить, что исходный код программ-вымогателей все чаще становится общедоступным и количество групп, использующих утекшие билдеры или исходный код шифровальщиков, увеличивается. В дальнейшем, вероятнее всего, таких групп будет еще больше.

Индикаторы компрометации

D2FFADEC5AA0A5CDD5E5CF1A7901EB29	Ransomware 1-st stage downloader
5AA991C89A6564A3C6351052E157F9D8	Ransomware 2-nd stage dropper (SFX archive) — RegAsm.exe
BC9B44D8E5EB1543A26C16C2D45F8AB7	Xorist ransomware — 1.exe
ACEA7E35F8878AEA046A7EB35D0B8330	Chaos ransomware — 2.exe
2737B1B3835242989F544A18D2DBAEFF	PowerShell LNK downloader
843F24AFDA0E1B375F00A00B39CF4A6E	Ransomware 1-st stage dropper (SFX archive)
636E1A7083439E77920C5C902DE8E2AE	Ransomware 2-nd stage downloader
1113BFBC7F3A62C87F1E090C57FA5D14	Ransomware 3-rd stage dropper (SFX archive)
C910DA0BAA2E08CEFCE079D1F7CB3469	Chaos ransomware — 1.exe
A0165523B0CB1A3AD28B995F100CC3C3	Xorist ransomware downloader — 2.exe
E0C744162654352F5E048B7339920A76	Xorist ransomware — RegAsm.exe
F93695564B97F03CC95CA242EDCFB5F8	Chaos ransomware downloader
D655E77841CF6DB3008DCD60C9C5EB18	Chaos ransomware — RegAsm.exe
BC9B44D8E5EB1543A26C16C2D45F8AB7	Xorist ransomware
CE9D5037EF8AB5C5677263E88E87464B	Xorist ransomware
A7ED00A3B0F827A3DCCC69D8908F5A22	Xorist ransomware
604FD6351A04B871DC77B6C7AD24FF3C	Chaos ransomware
C2E1048E1E5130E36AF297C73A83AFF6	Chaos ransomware
7E1577B6E42D47B30AE597EEE720D3B1	Chaos ransomware
D655E77841CF6DB3008DCD60C9C5EB18	Chaos ransomware
C910DA0BAA2E08CEFCE079D1F7CB3469	Chaos ransomware
FBD7E50091E64349827D1A62947CE042	Chaos ransomware
B404ACD8CFCE28DE0FCF5D2B0BE04989	Chaos ransomware
7237881AF3C17426FA262EA362C2D50F	Chaos ransomware
0889B78C02C338DF9394D913866E540C	Chaos ransomware
ACEA7E35F8878AEA046A7EB35D0B8330	Chaos ransomware
B1097F0A2B5B4B82E28CBD9953DD8B7C	Chaos ransomware
1FED852D312031974BF5EB988904F64E	RuRansom
6170BF1741D344C7D9B4384BF0771135	RuRansom
65CD0E68B4B5803064C6CA8BE9B05B89	RuRansom
3F224ADB6164F9A9C9E39E437FD0874C	RuRansom
291F9902534C323E2093D0FEE37B5187	RuRansom
EDAD568267A1D83403A8A55E557C8554	RuRansom
6780495DAD7EB372F1A660811F4894A6	UX-Cryptor
D2B80AC7CFCB075C5BDC637A75493E47	UX-Cryptor
44913214A6F04604E1B688524D9C419B	UX-Cryptor
DA09FCF140D3AAD0390FB7FAF7260EB5	Hakuna Matata ransomware
BA2108E9C3BF810F8B59E19C0D8DE310	Hakuna Matata ransomware
7249F2373BB6ADFC60DB971B4F7A1D20	Hakuna Matata ransomware
EB74803E3F3396E076517A8BE727AE0D	Hakuna Matata ransomware
63D8D813BC214B6F13F5EB3EE93B950A	Hakuna Matata ransomware
B3BF4F7CA0BB97F68CFE61136C8F26D1	Hakuna Matata ransomware
E46330807AFA8A023324E01F9B9C98BF	Hakuna Matata ransomware
46F8DE68E5348E1042461629B0B634A2	Hakuna Matata ransomware
DA8419165BCC5014114B1D1934DB5DC0	Hakuna Matata ransomware
56F5A95FFA6F89C24E0880C519A2AA50	Judge/NoCry
09F95167104B8CCEECB7969CD5399E11	Judge/NoCry
05FD0124C42461EF553B4B17D18142F9	Annabelle
09CE91B4F137A4CBC1496D3791C6E75B	Slam ransomware

from repository hxxps://raw.githubusercontent[.]com/max444432/RMS2/main/:

75F46171E81D6C5C81929AE6E3996257	RuRansom — dlldata.exe ()
3BA80C2F430FAC5DEEC03788E5A438C3	J-Ransomware/LoveYou ransomware — l.exe
8EFCF0FA4EB05EFE76A3AE28FB193606	J-Ransomware/LoveYou ransomware — lLove.exe
46F8DE68E5348E1042461629B0B634A2	Hakuna Matata ransomware — telegram-raid-botnet.exe
C2EDCC9211872B82475CB0EE3ADFED5D	XWorm V2.2 — cheat.exe
A095507117B229ECBC53D5F3B5F35ADF	NjRat — Server.exe
404D831747E7713F2EA6D859B52CE9B3	NjRat — Plugin cmd.sfx.exe
5AA991C89A6564A3C6351052E157F9D8	SFX archive (Xorist + Chaos) — bater.exe

URLs
hxxp://fastxstreamz.herokuapp[.]com/913915/ndp462-kb3151800-x86-x64-allos-rus.scr?hash=AgADzh
hxxp://fastxstreamz.herokuapp[.]com/913034/setupdjprog-i0w0w04g8gww4ock.exe?hash=agadox
hxxp://fastxstreamz.herokuapp[.]com/912974/3.exe?hash=agadob
hxxps://raw.githubusercontent[.]com/max444432/RMS2/main/*
make-catherine.at.ply[.]gg — C2 XWorm V2.2