Вход / регистрация
Компания Group-IB провела расследование, с чем связан такой бурный рост программ-вымогателей в последнее время. Они по-прежнему занимают лидирующие позиции в сфере киберпреступности.
По данным отчета «Программы-вымогатели 2020/2021», подготовленного экспертами Group-IB, модель «программа-вымогатель как услуга» (от англ. Ransomware-as-a-Service, RaaS), по которой разработчики продают или сдают в аренду вредоносное ПО своим партнерам для дальнейшего взлома сети и развертывания программ-вымогателей, стала одной из основных причин впечатляющего роста рынка программ-вымогателей.
Как отмечается в блоге Group-IB, 64% всех атак с применением программ-вымогателей, проанализированных в 2020 году, исходили от операторов, использующих модель RaaS.
Самую большую активность проявляют участники партнерской программы REvil. Партнеры REvil не выбирают в качестве целей компании, принадлежащие к какой-то определенной отрасли. Acer, Honeywell, Quanta Computer, JBS, Sol Oriens — это лишь часть крупных компаний, пострадавших от деятельности участников партнерской программы REvil.
Первоначально требования выкупа были очень скромными, однако теперь речь идет о десятках миллионов долларов. Не так давно вымогатели потребовали от Acer 50 миллионов долларов, а JBS, по данным отчетов, находящихся в открытом доступе, уже выплатила им 11 миллионов долларов.
Согласно сообщению, которое пользователь, предположительно связанный с программой REvil RaaS, оставил в ветке, посвященной данной программе на сайте exploit.in, партнеры REvil получают не менее 75% от выкупа, уплаченного жертвами. Пост был удален. Тем не менее система Group-IB Threat Intelligence & Attribution смогла получить исходное сообщение.
В мае 2021 года этот пользователь оставил сообщение в той же теме. В нем он призвал участников партнерской программы REvil не атаковать социальный сектор и государственные компании. Кроме того, пользователь обратился к партнерам закрытых программ RaaS. Всё это указывает на то, что к REvil присоединяется все больше партнеров, и есть все основания ожидать увеличения количества и масштабов атак, связанных с этим видом программ-вымогателей.
Хотя партнеры REvil в основном атакуют крупные корпорации, некоторые участники выбирают в качестве мишени компании с относительно невысокими доходами. Это весьма важный факт с точки зрения тактик, техник и процедур: операторы программ-вымогателей в редких случаях используют действительные учетные записи, полученные от третьих лиц, или компрометацию общедоступных RDP-серверов через подбор пароля в качестве первоначального вектора атаки.
Более того, партнеры REvil не всегда фокусировались на атаках, нацеленных на крупные компании (от англ. Big Game Hunting). Еще в декабре 2020 года участники партнерских программ REvil использовали вредоносную рекламу, чтобы обманом заставить жертву загрузить архив, содержащий вредоносный JS-файл. При запуске он использовал командную строку Windows, чтобы выполнить вредоносную команду PowerShell, что в конечном итоге приводит к запуску REvil на целевом узле. Та же техника применялась для распространения трояна Gootkit.
Специалисты в сфере кибербезопасности советуют отслеживать, как WScript.exe запускает скрипты из необычных мест, выполняет процессы cmd.exe/powershell.exe или же осуществляет внешние сетевые подключения.
«Как и многие другие операторы программ-вымогателей, партнеры REvil использовали серийное вредоносное ПО для получения первоначального доступа к целевым сетям. Двумя свежими примерами являются IcedID и Qakbot — это ПО уже давно используется в атаках, связанных с программами-вымогателями. Ранее было известно, что IcedID использовался партнерами Maze, Egregor и Conti, а Qakbot применялся ProLock, Egregor и DoppelPaymer», - отмечает Олег Скулкин, заместитель руководителя Лаборатории компьютерной криминалистики Group-IB. - Оба трояна распространяются через массовые спам-кампании. Потенциальная жертва получает электронное письмо с вредоносным документом Microsoft Office. Если файл будет открыт, а вредоносные макросы включены, то двоичный троян загрузится и запустится на хосте, как правило, через rundll32.exe или regsvr32.exe».
Фишинг остается одним из самых популярных векторов атак с использованием программ-вымогателей. Согласно отчету «Программы-вымогатели 2020/2021», 29% атак 2020 года из тех, что были проанализированы командой Group-IB DFIR, начинались с целевого фишинга.
Как правило, между первым успешным несанкционированным доступом и доступом, с которого начинается фактическая пост-эксплуатация, проходит некоторое время. Поэтому, если вы не используете многофакторную аутентификацию для общедоступных RDS и VPN, убедитесь, что ваша команда успешно отслеживает входы в систему из необычных мест.
Злоумышленники не всегда используют перебор или распыление пароля. Партнеры REvil могут получить действительную учетную запись из самых разных источников, например, от стилеров информации. Владельцы REvil RaaS даже купили исходный код стилера KPOT, чтобы использовать его в интересах своих партнеров.
Партнеры могут использовать различные уязвимости в общедоступных приложениях. Как известно, они используют веб-оболочки для получения начального доступа. По данным СМИ, злоумышленники могли получить доступ к сети Acer с помощью уязвимости ProxyLogon на сервере Microsoft Exchange данной компании. Хакеры, использующие данную уязвимость, очень часто загружают веб-оболочку для сохранения доступа.
Достигнув первоначальную цель, преступники обычно продолжают собирать дополнительные учетные данные и проводят внутреннюю разведку.
Двумя наиболее распространенными инструментами сетевого сканирования, обнаруженными командой Group-IB в рамках реагирования на инциденты, стали Advanced IP Scanner и SoftPerfect Network Scanner. В некоторых случаях партнеры загружали эти инструменты прямо с официальных сайтов, используя взломанный хост.
Фото — pixabay.com
Журнал RUБЕЖ
Пожарная безопасность
Транспортная безопасность
