• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Здравия всем, дамы и господа. Вот она, долгожданная статья о Conti, ну и, разумеется, о Ryuk — его предке.

HowItWas.jpg


Февраль 2017
Первая версия Ryuk была опубликована на ресурсе exploit.in русскоязычным пользователем CryptoTech.

Ноябрь 2017
Появилась версия Hermes 2.1

HERMES — Ryuk

Несмотря на то, что группировка обзавелась новой игрушкой — шифровальщиком Ryuk, Hermes всё также продолжал использоваться, но только при массированных атаках, а Ryuk же занял место тонкого инструмента для целевых атак. Хотя также существует версия, что Ryuk был создан из кода Hermes, т.к. последний продавался на хакерском форуме exploit.in в августе 2017 года. Дальнейшее повествование переключается на Ryuk.

13 августа 2018
В этот день произошёл один из первых заметных всплесков активности этого шифровальщика. За 5 атак группировкой было заработано $640 000. 2 из компаний-жертв базуируются в США, ещё одна в Германии и по крайней мере одна из них связана с здравоохранением.

10 января 2019
Выходят два отчёта от Fireeye и CrowdStrike, которые рассказывают о том, как Ryuk проникает в сети, а именно об инцидентах использования «Access as a Service»-услуг. Злоумышленники связывались с операторами лоадеров и покупали у них доступ в сеть, после чего действовали самостоятельно. В данном случае предоставителем доступа был TrickBot.

9 марта 2019
Ryuk атаковал сеть правительства округа Джексон штат Джорджия, откинув чиновников в бумажный век. Позже весь персонал был возвращён обратно, в век электронный, но уже без $400 000, именно столько было выплачено киберпреступникам в обмен на расшифровку инфраструктуры. Решение об оплате было принято по причине отсутствия резервной системы, изолированной от внутренней сети. Будем надеяться, они поняли свою ошибку.

18 июня 2019
Была атакована общественная радиостанция WMNF, инцидент не затронул никаких конфиденциальных данных, но достиг системы, которая хранила аудиоархивы для предварительно записанных промо-роликов и эпизодов новостей и программ по связям с общественностью. Системы для прямых трансляций HD также были заражены, в результате чего радиостанции с цифровым дисплеем показывали название рок-группы «Derek and Dominos» независимо от используемой мелодии. Несмотря на отсутствие резервных копий для данных, зашифрованных вредоносными программами, WMNF решила не платить выкуп, возможно причиной стало то, что департамент правоохранительных органов Флориды сообщил радио, что есть большие шансы потерять данные, даже если они заплатят киберпреступникам.

19 июня 2019
Появляется новая версия Ryuk, в которой добавлен чёрный список и проверка русских компьютеров, а точнее проверка имён ПК на предмет слов "SPB", "Spb", "spb", "MSK", "Msk", and "msk", если такие находятся, то шифрование не происходит.

6 июля 2019
Снова атака на правительственный ресурс, на этот раз округ La Porte, в котором гораздо более быстрые админы и безопасники, ведь они смогли изолировать атаку, таким образом, затронуто было лишь 7% устройств, в числе которых, к сожалению, два контроллера домена, а значит, сетевые сервисы, включая сайт, стали недоступны. Злоумышленники поимели с этой атаки $130 000, сто тысяч из которых покрываются страховкой. Заплатить они решили после того, как поняли, что ключи, выданные ФБР не помогают.

12 июля 2019
Ryuk заражает библиотеки в округе Онондага, штат Нью-Йорк.

18 июля 2019
Чиновники в Коллиервилле, штат Теннесси, подтвердили, что компьютерные системы города были заражены штаммом вымогателей. ИТ-отдел работал над тем, чтобы минимизировать воздействие, и изолировал несколько серверов, пострадавших от атаки, но это повлияло на некоторые службы (разрешения, запросы на публичные записи и бизнес-услуги).

11 сентября 2019
Возможно, обнаружен праобраз Conti. Как вы узнаете в конце статьи в технической части, Conti, в отличии от Ryuk крал данные и только после этого шифровал систему. Так вот, MalwareHunterTeam обнаружила программу, которая имеет схожести с Ryuk, но при том эксфильтрует и выгружает данные перед шифрованием, хотя Ryuk никогда так не делал.
При поиске файлов, если он встречает какие-либо папки или файлы, которые соответствуют определенным строкам, он прекращает проверку файла и переходит к следующему. Это сдклано для того, чтобы пропускать папки «Windows», «Intel» и прочие, в которых документы не представляют интереса либо обычно отсутствуют. Кроме того, он также пропускает любые файлы, связанные с Ryuk, такие как «RyukReadMe.txt» и файлы с расширением «.RYK». Если файл проходит черный список, происходит проверка, является ли это файлом .docx или .xlsx. После этого происходит проверка файла на действительность и если это действительный файл, он сравнивает имя файла со списком из 77 строк, по которым можно понять, что главная цель для поиска — конфиденциальные и военные документы, а также банковские данные.

1 октября 2019
Больницы DCH в Алабаме подверглась шифрованию.

4 октября 2019
Часть сети DCH была восстановлена из резервных копий, но руководство всё-таки решило приобрести ключ для расшифровки. Сеть успешно возвращена в рабочее состоянее.

1 ноября 2019
«T-Systems» - поставщик комплексных решений для учреждений неотложной помощи пострадал от действий Ryuk.

27 ноября 2019
Prosegur Security — испанская многонациональная компания была атакована и вынуждена отключить связь с клиентами, дабы избежать распространения.

9 декабря 2019
Было обнаружено, что новая версия шифровльщика может безвозвратно портить некоторые типы данных. В обновлении была добавлена возможность шифровать не весь файл, а лишь некоторые секторы по миллиону байт. Проблема в том, что информация о том, какие сектора подверглись шифрованию, сохраняется в последнем байте файла. Да, большинство файлов не использую последний байт, но файлы баз данных и образы виртуальных жестких дисков используют, кроме того, именно они чаще всего тяжёлые, а значит будут шифроваться именно таким методом. После дешифровки файла последний байт будет безвозвратно утерян.

13 декабря 2019
Новый Орлеан атакован Ryuk.

26 декабря 2019
Анализ исполняемого файла, используемого во время атак на Новый Орлеан, показал, что в чёрный список шифровальщика были добавлены папки, которые принадлежат системам *Unix, хотя варианта Ryuk под линукс никогда не существовало. Это можно объяснить только ростом популярности WSL и невозможностью дешифровать подсистему.

27 декабря 2019
Вся сеть Maritime Transportation Security Act (MTSA) была зашифрована. Предполагается, что точкой входа стало фишинговое письмо.

14 января 2020
Обнаружено, что Ryuk умеет находить в сети выключенные устройства, включать их посредством WakeOnLan и шифровать.

27 февраля 2020
ФБР выпустили анализ активности криптовымогателей, по итогам которого Ryuk занял первое место в списке самых «высокооплачиваемых», получив $61,26 млн при общей цифре в 140 млн.

2 марта 2020
Epiq Global были заражены Ryuk и вынуждены отключить свои сети. Это отключение повлияло на их платформы электронного обнаружения, что сделало невозможным для юридических клиентов доступ к документам, необходимым для судебных дел и сроков клиента. Несмотря на оперативное отключение, атака затронула все 80 глобальных офисов Epiq и их компьютеры.

8 марта 2020
Вся электронная инфраструктура города Дарем была зашифрована.

26 марта 2020
Когда операторов вымогателей спросили, будут ли они продолжать атаковать больницы во время пандемии, они ничего не ответили и продолжают шифровать медицинские организации, хотя те и так перегружены.

23 июня 2020
Исследователи из SentinelOne проанализировали журналы TrickBot и выяснили, что средний период присутствия TrickBot перед забросом Ryuk составляет две недели.

Ryuk — Conti

На родство этих двух рансомов указывает схожесть кода и идентичный шаблон сообщения о выкупе (с ранними версиями Ryuk), кроме того в обоих вирусах используется одинаковая инфраструктура TrickBot. Дальнейший рассказ будет про оба вируса, ведь Conti не пришёл на замену Ryuk моментально, некоторое время они сосуществовали.

25 августа 2020
Conti создали свой сайт для публикации утёкших данных, чтобы более наглядно показывать жертвам их ситуацию и помогать принимать решение об оплате дешифртора.

12 октября 2020
Ryuk перешли с использования TrickBot на BazarLoader.

22 октября 2020
IT-гигант из Франции, Sopra Steria, также подвергся нападению.

24 декабря 2020
Sangoma - поставщик аппаратного и программного обеспечения для IP-телефонии, известный популярным open-source проектом FreePBX, который позволяет организациям создавать дешевую корпоративную телефонную систему в своей сети. Вчера банда вымогателей Conti опубликовала более 26 ГБ данных на своём сайте для публикации данных. Эта утечка данных включает файлы, относящиеся к бухгалтерскому учету компании, финансовым данным, приобретениям, вознаграждениям и зарплате сотрудников, а также юридические документы.

28 ноября 2020
Производитель микросхем промышленной автоматизации и промышленного IoT (IIoT) Advantech подтвердил атаку вымогателей, которая поразила его сеть и привела к краже конфиденциальных, хотя и недорогих, документов компании. Также было подтверждено, что банда вымогателей Conti это именно те, кто поразили системы Advantech, и теперь требуют выкуп в размере 14 миллионов долларов для расшифровки затронутых систем и для прекращения утечки украденных данных компании. Банда-вымогатель также заявила, что в случае выплаты выкупа они немедленно удалят любые бэкдоры, развернутые в сети компании, и предоставят советы по безопасности о том, как защитить сеть для блокирования будущих нарушений.

13 декабря 2020
Международная юридическая фирма Seyfarth Shaw объявила что стала жертвой нападения вымогателей. Компания заявляет, что ее системы мониторинга поймали несанкционированную деятельность, и ИТ-отдел быстро остановил распространение. Эти шаги не помешали развертыванию процедуры шифрования файлов во многих системах. В качестве меры предосторожности зашифрованные компьютеры были отключены.

5 января 2021
Шотландское агентство по охране окружающей среды (SEPA) подтвердило, что некоторые из его контакт-центров, внутренних систем, процессов и внутренних коммуникаций пострадали после атаки вымогателей. В то время как SEPA не приписывает атаку какой-либо конкретной операции с вымогателями, банда вымогателей Conti заявляет об атаке и уже опубликовала 7% украденных данных на своем месте утечки. По данным SEPA, примерно 1,2 ГБ данных было эксфильтрировано во время атаки, что свидетельствует о том, что, по крайней мере, 4000 файлов были доступны и украдены.

17 января 2021
На этой неделе клиенты начали получать уведомления о нарушениях данных, свидетельствующие о том, что популярный бренд одежды для образа жизни, FatFace, подвергся взлому данных после кибератаки 17 января 2021 года. Согласно уведомлению, субъекты угрозы получили доступ к сети и системам FatFace и получили доступ к данным клиентов. Эти данные имена клиентов, адреса электронной почты, почтовые адреса и частичная информация о кредитной карте (последние четыре цифры и срок действия).Что противоречиво в уведомлении о нарушении данных, так это то, что оно говорит получателям: «Пожалуйста, сохраняйте это письмо и информацию, включенную в него, строго конфиденциальной.».

10 мая 2021
Город Талса, штат Оклахома, США, подвергся нападению. Сеть города отключена.

14 мая 2021
Ранним утром пятницы, когда все уже готовятся к выходным и обдумывают, что бы взять на пикник, становится известно о том, что в сети HSE (Health Service Executive) появился посторонний. (HSE – государственная система здравоохранения Ирландии, занимающаяся предоставлением медицинских и личных социальных услуг). Этим “посторонним” являлся шифровальщик Conti. Разумеется, проникновение рансома в инфраструктуру не прошло незамеченным, все IT-системы были остановлены и, как следствие, здравоохранение практически парализовано. На момент нападения HSE и так уже больше года находилась в сложном положении из-за эпидемиологической ситуации и тут вдруг на неё совершается крупнейшая в Ирландии кибератака. Около 80% всех сетей, которые так или иначе были связаны с HSE также подверглись нападению, в результате чего были зашифрованы электронные мед.карты пациентов. Естественно, что в сети больниц вредонос тоже попал и их тоже шифранул. Сразу после инцидента многие больницы были вынуждены отменить амбулаторное лечение и все назначения полностью, в то время как другие работали со значительными задержками и вернулся к использованию рукописного текста для продолжения записи ухода за пациентом.
Одним из основных факторов такого сильного урона от этой кибератаки стала NHN (National Healthcare Network). NHN – это сеть объединяющая все мед.организации для облегчения доступа к необходимым данным. Разумеется, это очень удобно для пациентов, но ради удобства пожертвовали очень важным элементом безопасной сети – “вертикальностью”. NHN является плоской сетью, без особого разграничения доступа, что даёт любому злоумышленнику свободу передвижения.
Ещё одним фактором стало устаревшее оборудование HSE. В момент инцидента лишь чуть больше половины серверного оборудования можно было назвать современным, всё остальное же находилось в сроке продлённой поддержки или вовсе уже не поддерживалось разработчиком. Так, например, около 30 000 рабочих станций работало на Windows 7, поддержка которой, как мы помним, уже закончилась. Сама компания оценивает свой уровень кибербезопасности как “низкий”. Это совершенно не удивительно, судя хотя бы по отсутствию оперативного центра безопасности. К счастью пациентов, банда вымогателей оказалась милосердной и выпустила бесплатный дешифровщик, однако данные продавать не перестала.

21 мая 2021
ФБР выпустила исследование, в котором говорится, что нападению подверглись 16 организаций, связанных со зравоохранением и оказанием первой помощи. И это только на территории США.

5 августа 2021
Одно из подразделений банды вымогателя Conti, недовольное полученным вознаграждением опубликовала внутренние конфиденциальные данные, включающие обучающую документацию для подразделений и список IP-адресов Cobalt Strike C2.

17 августа 2021
В ходе исследования слитой документации было выяснено, что группировка отдаёт приоритет банковским файлам, киберстрахованию и прочим вещам, которыми можно шантажировать.
«поиск по ключевым словам. нужны бухгалтерские отчеты. банковские выписки. на 20-21 год. все свежее. особенно важно, киберстрахование, документы по политике безопасности».

23 августа 2021
SAC Wireless, дочерняя компания Nokia в США, раскрыла нарушение данных после атаки вымогателей, когда операторы Conti смогли успешно взломать свою сеть, украсть данные и зашифровать системы. После завершения судебного расследования, компания считает, что украденные файлы содержат следующие категории личной информации: имя, дата рождения, контактная информация (например, домашний адрес, электронная почта и телефон) правительственные идентификационные номера (такие как водительские права, паспорт, или военный ID) номер социального страхования, статус гражданства, рабочая информация (такие как должность, зарплата, и оценки) история болезни, информация о полисе медицинского страхования, номера номерных знаков, цифровые подписи, свидетельства о браке или рождении, информация налоговой декларации, и зависимые / бенефициары имена.

3 сентября 2021
Conti начали использовать уязвимость ProxyShell для взлома серверов Exchange

30 сентября 2021
JVCKenwood - многонациональная компания по производству электроники, базирующаяся в Японии и именно она подверглась очередной атаке со стороны банды-вымогателя.

2 октября 2021
Отраслевой издательский гигант Sandhills Global подвергся нападению вымогателей, в результате чего размещенные сайты стали недоступными и нарушили работу их бизнес партнёров.

19 октября 2021
Бывший оператор ботнета Emotet воскресил проект по просьбам одного из членов банды Conti.

7 декабря 2021
Nordic Choise Hotels, скандинавская сеть отелей, пострадала от атаки Conti. Хотя нет никаких признаков влияния на пароли или платежную информацию, информация, касающаяся бронирования отелей, потенциально утекла.

10 декабря 2021
Правительство Южной Автралии было заражено и зашифровано. Были украдены конфиденциальные данные десятков тысяч сотрудников.

16 декабря 2021
Даже сеть пивоварен, ресторанов и пабов была затронута атакой Conti.

17 декабря 2021
А вот об этом я писал и в новостях и в статье про Log4Shell. Conti начали использовать Log4Shell для более успешного распространения.

27 декабря 2021
Фотогигант Shutterfly подвергся атаке криптовымогателя. Были якобы украдены корпоративные данные и зашифрованы тысячи устройств.

Как это работает?
Ryuk

Ну а после того, как мы познакомились с историей этой семейки, предлагаю перейти к их разбору.
Как уже упоминалось, Ruyk распространялся через Emotet, поэтому начальные этапы будут взяты с учётом того, что Ryuk — лишь часть атаки.
Заброс на устройство
Сначала на устройство посредству фишинговых писем и макросов в документе доставляется загрузчик Emotet, он, в свою очередь скачивает ПО для захвата учётных, банковских и иных данных, отключения антивирусов и обеспечения лёкгости бокового передвижения. Когда всё уже готово происходит подключение к c&c серверу и загрузка непосредственно рансома, которому, как мы помним, ничего уже не мешает.
Развёртывание Ryuk также разбивается на несколько этапов, первый — дроппер.
Дроппер
Когда он запускается, поисходит проверка параметра Windows «MajorVersion» и, если он равен 5, что соответствует Windows 2000, Windows XP и Windows Server 2003, кидает исполняемый файл в «C:\Documents and Settings\Default User\», если же параметру присвоено другое число, то файл окажется в папке «C:\users\Public\». Название файла состоит из пяти случайно-генерируемых символов. Если эта идея не возымела успеха, то файл копируется в ту же папку, что и расположен дроппер, причём название берётся у дроппера, но с «V» вместо последнего символа имени
После этого происходит обращение к функции «IsWow64Process()», проверяющей битность системы. Оба варианта исполняемого файла хранятся в разделе .data Первый этап заканчивается вызовом «ShellExecuteW()». Эта функция принимает путь до дроппера в качестве аргумента и, запускаясь, начинает следующий этап и удаляет дроппер.
Зарепление
Начало второго этапа ознаменовывается тем, что дроппер, перед уходом запустил ещё один исполняемый файл, который начинает процесс закрепления в системе. Ryuk использует очень хорошо известный ключ регистра «HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchos», а в качестве значения выставляется путь до исполняемого файла. Вредонос использует функцию «AdjustTokenPrivileges()» для настройки своего токена доступа к процессу. Функция работает на базе «SeDebugPrivilege», вот что написано об этом в документации Microsoft:
«SeDebugPrivilege: Требуется для отладки и настройки памяти процесса, принадлежащего другой учетной записи. С помощью этой привилегии пользователь может прикрепить отладчик к любому процессу или ядру.»
Такой метод используется при атаках со внедрением собственного кода в процессы. Именно это и происходит дальше. Следующим шагом рансом проходится по всем запущенным процессам и собирает некоторые их данные в массив. Сбору подвергается следующая информация:
  • «ProcessName»;​
  • «ProcessID»;​
  • «ProcessType».​
«ProccessType» - это не изначальная характеристика процесса, а значение выдаваемое самим Ryuk на основе имени пользователя, запустившего процесс. Если оно начинается с «NT A» (NT AUTHORITY), то это значит повышенные права процесса и «ProcessType» получает значение «1», иначе ему присваивается «2». После этого происходит инъекция, однако процессы «csrss.exe», «explorer.exe» и «lsaas.exe» остаются в стороне.
Техника инъекции донельзя проста. Выделяется место в целевом процессе, с помощью функции «VirtualAllocEx()» и в свободное место записывается вредоносный процесс (функция «WriteProcessMemory()»). Под конец происходит вызов функции «CreateRemoteThread()», вызывающей запуск нового потока рансома уже из инфицированного процесса.
Теперь, когда никаким скальпелем это уже не вырезать, наччинается импорт библиотек. Они импортируются динамически, используя функцию «LoadLibraryA()». Когда библиотеки импортированы начинается уничтожение всех тех, кто может помешать. Это происходит с помощью стандартных средств командной строки: «net stop» и «taskkill». Несложно понять, что под ударом оказываются всяческие программы для резервного копирования, восстановления и прочие «враги» Ryuk.
  • Acronis VSS Provider​
  • Enterprise Client Service​
  • Sophos Agent​
  • Sophos AutoUpdate Service​
  • Sophos Clean Service​
  • Sophos Device Control Service​
  • Sophos File Scanner Service​
  • Sophos Health Service​
  • Sophos MCS Agent​
  • Sophos MCS Client​
  • Sophos Message Router​
  • Sophos Safestore Service​
  • Sophos System Protection Service​
  • Sophos Web Control Service​
  • SQLsafe Backup Service​
  • SQLsafe Filter Service​
  • Symantec System Recovery​
  • Veeam Backup Catalog Data Service​
  • AcronisAgent​
  • AcrSch2Svc​
  • Antivirus​
  • ARSM​
  • BackupExecAgentAccelerator​
  • BackupExecAgentBrowser​
  • BackupExecDeviceMediaService​
  • BackupExecJobEngine​
  • BackupExecManagementService​
  • BackupExecRPCService​
  • BackupExecVSSProvider​
  • bedbg​
  • DCAgent​
  • EPSecurityService​
  • EPUpdateService​
  • EraserSvc11710​
  • EsgShKernel​
  • FA_Scheduler​
  • IISAdmin​
  • IMAP4Svc​
  • macmnsvc​
  • masvc​
  • MBAMService​
  • MBEndpointAgent​
  • McAfeeEngineService​
  • McAfeeFramework​
  • McAfeeFrameworkMcAfeeFramework​
  • McShield​
  • McTaskManager​
  • mfemms​
  • mfevtp​
  • MMS​
  • mozyprobackup​
  • MsDtsServer​
  • MsDtsServer100​
  • MsDtsServer110​
  • MSExchangeES​
  • MSExchangeIS​
  • MSExchangeMGMT​
  • MSExchangeMTA​
  • MSExchangeSA​
  • MSExchangeSRS​
  • MSOLAP$SQL_2008​
  • MSOLAP$SYSTEM_BGC​
  • MSOLAP$TPS​
  • MSOLAP$TPSAMA​
  • MSSQL$BKUPEXEC​
  • MSSQL$ECWDB2​
  • MSSQL$PRACTICEMGT​
  • MSSQL$PRACTTICEBGC​
  • MSSQL$PROFXENGAGEMENT​
  • MSSQL$SBSMONITORING​
  • MSSQL$SHAREPOINT​
  • MSSQL$SQL_2008​
  • MSSQL$SYSTEM_BGC​
  • MSSQL$TPS​
  • MSSQL$TPSAMA​
  • MSSQL$VEEAMSQL2008R2​
  • MSSQL$VEEAMSQL2012​
  • MSSQLFDLauncher​
  • MSSQLFDLauncher$PROFXENGAGEMENT​
  • MSSQLFDLauncher$SBSMONITORING​
  • MSSQLFDLauncher$SHAREPOINT​
  • MSSQLFDLauncher$SQL_2008​
  • MSSQLFDLauncher$SYSTEM_BGC​
  • MSSQLFDLauncher$TPS​
  • MSSQLFDLauncher$TPSAMA​
  • MSSQLSERVER​
  • MSSQLServerADHelper100​
  • MSSQLServerOLAPService​
  • MySQL80​
  • MySQL57​
  • ntrtscan​
  • OracleClientCache80​
  • PDVFSService​
  • POP3Svc​
  • ReportServer​
  • ReportServer$SQL_2008​
  • ReportServer$SYSTEM_BGC​
  • ReportServer$TPS​
  • ReportServer$TPSAMA​
  • RESvc​
  • sacsvr​
  • SamSs​
  • SAVAdminService​
  • SAVService​
  • SDRSVC​
  • SepMasterService​
  • ShMonitor​
  • Smcinst​
  • SmcService​
  • SMTPSvc​
  • SNAC​
  • SntpService​
  • sophossps​
  • SQLAgent$BKUPEXEC​
  • SQLAgent$ECWDB2​
  • SQLAgent$PRACTTICEBGC​
  • SQLAgent$PRACTTICEMGT​
  • SQLAgent$PROFXENGAGEMENT​
  • SQLAgent$SBSMONITORING​
  • SQLAgent$SHAREPOINT​
  • SQLAgent$SQL_2008​
  • SQLAgent$SYSTEM_BGC​
  • SQLAgent$TPS​
  • SQLAgent$TPSAMA​
  • SQLAgent$VEEAMSQL2008R2​
  • SQLAgent$VEEAMSQL2012​
  • SQLBrowser​
  • SQLSafeOLRService​
  • SQLSERVERAGENT​
  • SQLTELEMETRY​
  • SQLTELEMETRY$ECWDB2​
  • SQLWriter​
  • SstpSvc​
  • svcGenericHost​
  • swi_filter​
  • swi_service​
  • swi_update_64​
  • TmCCSF​
  • tmlisten​
  • TrueKey​
  • TrueKeyScheduler​
  • TrueKeyServiceHelper​
  • UI0Detect​
  • VeeamBackupSvc​
  • VeeamBrokerSvc​
  • VeeamCatalogSvc​
  • VeeamCloudSvc​
  • VeeamDeploymentService​
  • VeeamDeploySvc​
  • VeeamEnterpriseManagerSvc​
  • VeeamMountSvc​
  • VeeamNFSSvc​
  • VeeamRESTSvc​
  • VeeamTransportSvc​
  • W3Svc​
  • wbengine​
  • WRSVC​
  • MSSQL$VEEAMSQL2008R2​
  • SQLAgent$VEEAMSQL2008R2​
  • VeeamHvIntegrationSvc​
  • swi_update​
  • SQLAgent$CXDB​
  • SQLAgent$CITRIX_METAFRAME​
  • SQL Backups​
  • MSSQL$PROD​
  • Zoolz 2 Service​
  • MSSQLServerADHelper​
  • SQLAgent$PROD​
  • msftesql$PROD​
  • NetMsmqActivator​
  • EhttpSrv​
  • ekrn​
  • ESHASRV​
  • MSSQL$SOPHOS​
  • SQLAgent$SOPHOS​
  • AVP​
  • klnagent​
  • MSSQL$SQLEXPRESS​
  • SQLAgent$SQLEXPRESS​
  • wbengine​
  • kavfsslp​
  • KAVFSGT​
  • KAVFS​
  • mfefire​

Это, что касается сервисов, однако некоторые процессы также подвергались уничтожению при запуске Ryuk.
  • zoolz.exe​
  • agntsvc.exe​
  • dbeng50.exe​
  • dbsnmp.exe​
  • encsvc.exe​
  • excel.exe​
  • firefoxconfig.exe​
  • infopath.exe​
  • isqlplussvc.exe​
  • msaccess.exe​
  • msftesql.exe​
  • mspub.exe​
  • mydesktopqos.exe​
  • mydesktopservice.exe​
  • mysqld.exe​
  • mysqld-nt.exe​
  • mysqld-opt.exe​
  • ocautoupds.exe​
  • ocomm.exe​
  • ocssd.exe​
  • onenote.exe​
  • oracle.exe​
  • outlook.exe​
  • powerpnt.exe​
  • sqbcoreservice.exe​
  • sqlagent.exe​
  • sqlbrowser.exe​
  • sqlservr.exe​
  • sqlwriter.exe​
  • steam.exe​
  • synctime.exe​
  • tbirdconfig.exe​
  • thebat.exe​
  • thebat64.exe​
  • thunderbird.exe​
  • visio.exe​
  • winword.exe​
  • wordpad.exe​
  • xfssvccon.exe​
  • tmlisten.exe​
  • PccNTMon.exe​
  • CNTAoSMgr.exe​
  • Ntrtscan.exe​
  • mbamtray.exe​

Далее происходило уничтожение всех теневых копий с помощью «window.bat». Скрипт с помощью встроенного средства работы с теневыми копиями попросту удалял их все.
Код:
vssadmin Delete Shadows /all /quiet
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
vssadmin Delete Shadows /all /quiet
del /s /f /q c:\*.VHD c:\*.bac c:\*.bak c:\*.wbcat c:\*.bkf c:\Backup*.* c:\backup*.* c:\*.set c:\*.win c:\*.dsk
del /s /f /q d:\*.VHD d:\*.bac d:\*.bak d:\*.wbcat d:\*.bkf d:\Backup*.* d:\backup*.* d:\*.set d:\*.win d:\*.dsk
del /s /f /q e:\*.VHD e:\*.bac e:\*.bak e:\*.wbcat e:\*.bkf e:\Backup*.* e:\backup*.* e:\*.set e:\*.win e:\*.dsk
del /s /f /q f:\*.VHD f:\*.bac f:\*.bak f:\*.wbcat f:\*.bkf f:\Backup*.* f:\backup*.* f:\*.set f:\*.win f:\*.dsk
del /s /f /q g:\*.VHD g:\*.bac g:\*.bak g:\*.wbcat g:\*.bkf g:\Backup*.* g:\backup*.* g:\*.set g:\*.win g:\*.dsk
del /s /f /q h:\*.VHD h:\*.bac h:\*.bak h:\*.wbcat h:\*.bkf h:\Backup*.* h:\backup*.* h:\*.set h:\*.win h:\*.dsk
del %0TON Community RUS
Шифрование
Ну и, основная часть шифровальщика. Собственно, шифрование. Ryuk использует многопоточный подход к шифрованию, при котором каждый новый зашифрованный файл становится очередным источником шифрования, что делает этот процесс невероятно быстрым. Для шифрования используется алгоритм «256 AES», ключ для которого генерируется функцией «CryptGenKey()», работающей на API Windows. Больше ничем особо этот процесс не выделяется. Самый обычный цикл шифрования, шифрующий файлы по фрагментам в 1млн байт. В конце каждого файла остаётся блок размеров в 274 байта, первые 6 которого — ключевое слово «HERMES». После этого AES-ключ шифруется публичным ключом RSA, записыватся в конец файла и экспортируется с использованием функции «CryptExportKey()». Кстати, публичный ключ RSA встроен в исполняемый файл и импортируется в каждый поток функцией «CryptImportKey()». Ровно тем же алгоритмом шифруются и сетевые диски. Единственная разница, что прежде их нужно найти, это делается функциями «WNetOpenEnumW()» и «WNetEnumResourceA()».

Conti

Количество систем, подверргшихся нападению было просто огромным, ведь, как было сказано ранее, вредонос использует модель Ransomware As A Service, которая подразумевает, что хакеры готовят выбранные клиентом исходники к атаке, дописывают код и, собственно, сами атакуют жертву. Получение выкупа происходит на счета группировки. После перечисления средств хакеры оставляют себе зарплату, которую составляет ранее оговорённый процент от суммы, а остальное переводят заказчику атаки. Именно по этой причине нет универсальной цепочки действий, как это было при атаках Ryuk, каждый взлом происходил с универсальными векторами заражения и собственными вариантами развития в процессе атаки, я же привожу лишь один из примеров.
Выбор цели
Поскольку RaaS модель требует гибкости, Conti использует широкий спектр векторов для заражения, таких как:
  • Фишинговые сообщения;​
  • Массовое сканирование уязвимостей;​
  • Программы-распространители;​
  • Поиск учётных данных;​
  • Социальная инженерия.​
Самый распространённый и чаще всего срабатывающий метод — это, конечно, фишинговые сообщения на email. После него идёт массовый скан уязвимостей, ну и программы распространители, куда без них. Уже известные нам TrickBot и Emotet и новичек в команде — BazarLoader.
Заброс и развёртывание
Начинается всё с фишинговой компании, через которую с помощью неосторожных пользователей устанавливается BazarLoader. После этого происходит разведка, во время которой злоумышленники пытаются найти чувствительные места в сети, такие как контроллеры домена или серверы резервного копирования. Если они обнаужены, следующий этап запускается раньше. После окончания разведки (или после нахождения вышеупомянутых хостов) происходит эксфильтрация данных, во время которой оценивается ценность тех или иных данных для хакеров. Всё, что оказывается ценным, отправляется на облако MEGA специальной подпрограммой «rclone».
Шифрование
После сохранения всех полезных данных начинается шифрование. Алгоритм следующий:
  1. Каждый файл шифруется с помощью ChaCha8 ключа, сгенерированного специально под конкретный файл;​
  2. Каждый сгенерированный ключ дополнительно проходит через шифрование публичным ключом RSA-4096;​
  3. В таком виде ключ сохраняется в конце своего файла.​
Эти ключи используются для идентификации жертвы, переговоров и, как итог, дешифровки файлов. Когда все файлы зашифрованы создаётся файл readme.txt. Их, кстати было два вида. Один со ссылкой на сайт восстановления Conti и его версией в TOR и второй с почтами protonmail. Второй безопаснее для компаний, т.к. в первом случае при загрузке вредоноса куда либо можно было посмотреть чат с вымогателями, т.к. идентификатор был захардкожен в самом вредоносе, а именно он использовался для доступа к чату.

На этом статья закончена. Это было, честно говоря, трудновато. Очень много информации пришлось перерыть, но мне понравилось, пока не знаю, про что будет следующая статья, но она однозначно будет. За сим откланяюсь.
 

pyrosoft

One Level
13.01.2022
1
1
BIT
0
Засыпаю, пробежался глазами быстро - весьма интересно, обещаю вернуться и дочитать. 🥸
 
  • Нравится
Реакции: dieZel
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!