Отчет по безопасности Cymulate: Итоги июня

pexels-panumas-nikhomkhai-1148820.jpg
В июне 2021 года мы стали свидетелями ряда атак с использованием вирусов-шифровальщиков, и некоторые жертвы решили заплатить выкуп. Несколько атак предприняла группировка Gold Northfield, использующая технологии криминального сервиса REvil. Компания JBS Foods — один из крупнейших мировых производителей мясных продуктов — согласилась выплатить злоумышленникам 11 миллионов долларов за возможность возобновить деятельность в Австралии, США и Канаде, прерванную шифровальщиком REvil. Кроме того, жертвой вируса REvil и трояна Qbot пали корпорация Fujifilm и бразильский медицинский гигант Grupo Fleury. За возможность расшифровать свои данные и предотвратить их публикацию злоумышленники запросили 5 миллионов долларов США.
Популярность технологии REvil создала и побочный эффект для Gold Northfield. Чтобы сэкономить время и ресурсы, некоторые злоумышленники стали использовать «пиратские копии» вирусов-шифровальщиков в качестве отправной точки при создании собственных версий. В июне был обнаружен немного модифицированный клон REvil под названием LV, выслеживающий и заражающий компьютеры под управлением ОС Windows. Авторы LV удалили из исполняемых файлов потенциально идентифицирующую информацию — скорее всего, с помощью шестнадцатеричного редактора. В качестве номера версии в этих исполняемых файлах указано значение 2.02, однако наличие уникального кода из REvil 2.03 дает основания полагать, что мы имеем дело с пиратской копией бета-версии REvil 2.03. Ссылки из вредоносной программы ведут на платежную систему, построенную на базе Tor, причем каждый вариант шифровальщика LV является уникальным, что затрудняет расшифровку файлов, принадлежащих разным жертвам. Есть мнение, что группировка LV намерена построить на базе этого вируса-шифровальщика сервис по модели RaaS.

В предыдущем обзоре мы упоминали, что два популярных русскоязычных хакерских форума запретили обсуждение вирусов-шифровальщиков. Это заставило злоумышленников искать другие пути продвижения услуг. В июне по крайней мере две преступные группировки (LockBit и Himalaya) начали заманивать хакеров и продвигать инструменты шифрования с помощью собственных сайтов. Группировка Himalaya предлагает партнерам комиссию в размере 70% и рекламирует полностью сконфигурированные и скомпилированные шифровальщики, позиционируемые как FUD (Fully UnDetectable — «совершенно необнаруживаемые»).
Кроме того, в июне увидели свет новые варианты известной вредоносной программы MIRAI для интернета вещей. Ее оригинальный исходный код был опубликован в 2016 году, и злоумышленники сразу же воспользовались этим для создания собственных версий с той же структурой и тем же назначением. Вирус MIRAI способен находить устройства интернета вещей, в которых используются стандартные или ненадежные имена пользователей и пароли. Используя известные и новые уязвимости, вирус загружает на устройства вредоносные файлы и запускает их, превращая зараженное устройство в участника зомби-сети, нацеленной на совершение атак типа Distributed Denial-of-Service (DDOS). Недавние варианты используют в своих двоичных файлах уникальные строки и маркеры, чтобы определить, удалось ли выполнить на устройстве команды через, например, SSH или Telnet.
В июне активизировался недавно обнаруженный вирус-шифровальщик Bash, использующий для атаки полноценный сценарий оболочки bash. Пока его основными жертвами становятся преимущественно системы на базе Linux-дистрибутивов Red Hat и CentOS. Для взаимодействия с командными центрами сценарии червя и вируса-шифровальщика используют API популярных мессенджеров. В каталоге api_attack содержатся различные версии шифровальщика Bash (DarkRadiation), а также SSH-черви, с помощью которых происходит распространение вируса-шифровальщика. К сценариям применены методы обфускации — возможно, с помощью Node.js-библиотеки node-bash-obfuscate с открытым исходным кодом. Эта вредоносная программа также проверяет, допускает ли конфигурация системы атаку с использованием паролей и ключей SSH по заданному IP-адресу. После успешного подключения сценарий Bash начинает загружать и запускать на зараженных системах код вирусов-шифровальщиков, используя для установки компонентов функцию install_tools. Информирование злоумышленников о статусе взлома осуществляется через API популярных мессенджеров.
В течение прошлых месяцев несколько компаний были атакованы группировкой, известной под именем PuzzleMaker. Для атаки использовалась цепочка уязвимостей нулевого дня в браузере Google Chrome и ОС Microsoft Windows, позволяющая злоумышленникам удаленно запускать любой код в изолированной среде через специальным образом составленный документ HTML, а затем перемещать его в основную систему. Цепочка, составленная из уязвимостей CVE-2021-31955 и CVE-2021-31956, позволяет исполнять на удаленной системе вредоносный код следующим образом:
1. Вспомогательный модуль (stager) подтверждает, что взлом произошел успешно.
2. Затем он загружает с командного сервера модуль-«дроппер».
3. Дроппер запускается с собственной оболочкой Remote Shell.
4. Оба модуля подменяют легитимные файлы Windows на зараженном компьютере.
5. Используя полученный доступ, вредоносные программы загружают нужные файлы, распаковывают их и создают системные процессы.
6. Кроме того, вирус способен временно переходить в «спящий режим» и самостоятельно удаляться из системы.

Завершим этот обзор новостями о хакерской группировке NOBELIUM, опирающейся на поддержку определенных государств (также известной под именами APT29, Cozy Bear и The Dukes). Эта группировка, ранее совершившая успешную атаку на поставщиков SolarWinds, предприняла в июне новые атаки методами «распыление паролей» (password spray) и брутфорс с целью получить доступ к корпоративным сетям через инструменты поддержки пользователей Microsoft.
Чтобы узнать, защищена ли ваша организация от атак злоумышленников, выполните быструю проверку на угрозы, которую предлагает компания Cymulate. Эта проверка позволяет самостоятельно убедиться, насколько ваша организация уязвима для атак. В случае обнаружения уязвимостей мы предложим способы их устранения. Кроме того, доступен пользовательский интерфейс Cymulate для работы с индикаторами компрометации (IOC).
Безопасного вам дня!
Безопасного вам дня!
Источник: www.cymulate.com