Введение
Кибервымогатели далеко не всегда создают вредоносное ПО сами. Они могут купить образец вредоносного ПО в даркнете, примкнуть к состоявшейся группе или найти код программы-шифровальщика в свободном доступе. Последний сценарий встречается довольно часто — немало исходных кодов публикуется или попадает в общий доступ в результате утечки. Вооружившись набором стандартных инструментов и новой (иногда слегка модифицированной) версией программы-шифровальщика, злоумышленники способствуют распространению вредоносной активности, пополняя список своих жертв.
За последние месяцы мы опубликовали несколько закрытых отчетов о вымогателях и в этой статье делимся выдержками из них. Если вы хотите узнать больше о нашем сервисе информирования о crimeware (вредоносное ПО, которое используется для совершения киберпреступлений), свяжитесь с нами по адресу crimewareintel@kaspersky.com.
SEXi
В апреле этого года вымогатели атаковали компанию IxMetro с помощью нового шифровальщика, который они назвали SEXi. Название зловреда подсказывает, что злоумышленников интересуют в основном гипервизоры ESXi. Во всех проанализированных случаях жертвы использовали неподдерживаемые версии ESXi, однако существуют различные гипотезы о том, как именно вредоносная нагрузка была доставлена в систему.
Злоумышленники используют две модификации шифровальщика — в зависимости от типа атакуемой платформы. Обе созданы на основе утекших образцов вредоносного ПО: модифицированный Babuk нацелен на устройства с Linux, а вариация LockBit — с Windows. Это первый обнаруженный случай, когда одна группа вымогателей пользуется разными видами шифровальщиков на разных целевых платформах.
Эта группа отличается и своим особым подходом к взаимодействию с жертвой. Обычно вымогатели оставляют записку с адресом электронной почты для связи или со ссылкой на сайт с украденными данными. Но жертвы этой группы получали сообщение с идентификатором пользователя мессенджера Session, с которым нужно связаться для разблокировки данных. Злоумышленники многократно пользовались этим идентификатором в разных атаках, не утруждаясь созданием уникальных учетных записей для связи с каждой из своих жертв. Это, как и отсутствие собственного TOR-сайта для публикации утечек, указывает на их недостаточный профессионализм.
Key Group
Группа SEXi отличилась применением модификаций утекших шифровальщиков из двух разных семейств. Однако другие злоумышленники пошли еще дальше. Например, относительно молодая группа Key Group, также известная как keygroup777, появившаяся в апреле 2022 года, использует шифровальщики из как минимум восьми разных семейств. Мы перечислили их на схеме ниже.
Атрибутировать атаки с использованием различных вариантов программ-вымогателей к Key Group позволили записки с требованием выкупа. Всего за два с небольшим года активности группа неоднократно корректировала свои тактики, техники и процедуры (TTP) — фактически они менялись с каждым новым вариантом шифровальщика. Например, в механизме закрепления в системе всегда использовался реестр, однако в каждом семействе этот механизм был реализован по-своему. Большинство создавало ключ реестра для автозапуска, а некоторые добавляли себя в папку автозагрузки.
Например, UX-Cryptor добавлялся в реестр так:
1 2 3 4 5 6 7 8 9 |
HKU\$usersid\Software\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell" = "$selfpath" HKU\$usersid\Software\Microsoft\Windows\CurrentVersion\Run "WindowsInstaller" = "$selfpath -startup" "MSEdgeUpdateX" = "$selfpath" HKU\$usersid\Software\Microsoft\Windows\CurrentVersion\RunOnce "System3264Wow" = "$selfpath --init" "OneDrive10293" = "$selfpath /setup" "WINDOWS" = "$selfpath --wininit" |
А модификация шифровальщика Chaos копировала себя в $user\$appdata\cmd.exe и запускала новый процесс, который в свою очередь создавал новый файл в папке автозагрузки: $user\$appdata\Microsoft\Windows\Start Menu\Programs\Startup\cmd.url, где был прописан путь к файлу-шифровальщику: URL=file:///$user\$appdata\cmd.exe.
Русскоязычные группы чаще всего работают за пределами России. Но Key Group — одно из редких исключений из этого правила. В целом эти злоумышленники, как и SEXi, не отличаются высоким профессионализмом — им явно не хватает комплексных навыков. Например, основным каналом для связи с их командным сервером служит репозиторий GitHub, что значительно упрощает отслеживание, а для коммуникаций внутри группы и связи с жертвами злоумышленники используют Telegram вместо выделенного сервера в сети TOR.
Mallox
Mallox — вариация шифровальщика, которая появилась в 2021 году. В 2022 году ее авторы запустили партнерскую программу. Достоверно неизвестно, как именно они получили исходный код: написали самостоятельно, нашли в открытом доступе или купили, как они сами утверждают. С учетом того, что модификация Mallox еще не изучена так хорошо, как LockBit или Conti, и информации о ней мало, мы все же решили рассмотреть ее в этой статье.
Начав деятельность как самостоятельная группа, Mallox запустила партнерскую программу вскоре после появления. Что интересно, группа сотрудничает только с опытными русскоязычными злоумышленниками — англоязычные партнеры их не интересуют, так же как и новички в этой сфере. Кроме того, у них есть строгие требования к выбору организаций, которые должны атаковать их партнеры: это компании с прибылью не менее 10 млн долларов США, исключая больницы и образовательные учреждения.
У каждого партнера Mallox есть свой идентификатор, что позволило нам собрать статистику операций в их партнерской сети. В 2023 году у группы было 16 действующих партнеров, что объясняет ее возросшую активность (согласно датам создания PE-файлов, максимальное количество обнаруженных образцов отмечалось весной и осенью 2023 года).
Количество обнаруженных образцов Mallox по датам создания PE-файлов (скачать)
В 2024 году из первоначальных партнеров группы активными остались только восемь, а новичков не было обнаружено. За исключением этого, Mallox — типичный охотник на крупную дичь, с собственным сайтом для публикации украденных данных, сервером в сети TOR и так далее.
Заключение
Получение шифровальщика и раньше не составляло труда для кибервымогателей: они могли, например, взять на вооружение доступные в сети решения или присоединиться к группе злоумышленников и стать их исполнителем. Поначалу атакующие использовали инструменты вроде Hidden Tear — обнаружить их было просто, а ошибки кода позволяли без труда восстановить зашифрованные данные. Их основной целью были обычные потребители, а не крупные организации. Однако теперь все по-другому: вымогатели ищут крупные цели и используют «профессиональные» шифровальщики для атак на частный бизнес, корпорации, больницы и другие учреждения. Такие инструменты, в числе прочего, эффективнее в плане производительности, возможностей настройки, поддерживаемых команд и платформ. Но если раздобыть «профессиональный» шифровальщик довольно просто, то процесс изучения организации-жертвы и внедрения в ее инфраструктуру может оказаться слишком времязатратным и порой непосильным для новичков.
На примере групп Key Group и SEXi мы видим, что злоумышленники, использующие утекший код, чаще всего не отличаются высоким профессионализмом. Своим успехом они обязаны либо грамотно организованной партнерской сети (как в случае с Key Group), либо удачному выбору ниши, в которой им удалось эффективно развернуть шифровальщик (SEXi). В этих двух сценариях утечка или публикация кода шифровальщиков представляют угрозу для организаций и отдельных пользователей.
Если вы хотите получать свежую информацию о новейших тактиках, техниках и процедурах злоумышленников или задать вопрос о наших закрытых отчетах, свяжитесь с нами по адресу crimewareintel@kaspersky.com.
Индикаторы компрометации
SEXi
4e39dcfb9913e475f04927e71f38733a
0a16620d09470573eeca244aa852bf70
Key Group
bc9b44d8e5eb1543a26c16c2d45f8ab7
acea7e35f8878aea046a7eb35d0b8330
Mallox
00dbdf13a6aa5b018c565f4d9dec3108
01d8365e026ac0c2b3b64be8da5798f2
Как «профессиональные» шифровальщики дают толчок новым группам вымогателей