• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Здравия всем, дамы и господа. В недавнем новостном дайджесте я забыл рассказать про событие связанное с REvil. Мне об этом напомнили и я решил, что, раз уж не определился с темой следующего «А как это было?», то это будет хорошим вариантом.
Когда я опубликовал прошлую статью из этой рубрики, мне мягко намекнули, что стоило бы делить статьи на несколько, что я и сделал, как видите. Пока не знаю, что будет в этой части статьи, но точно могу сказать, что технический разбор будет не здесь.
Начнём с хронологии.

REvil известен ещё и как Sodinokibi, поэтому будут появляться события, в которых описывается один и тот же вирус под разными названиями.

HowItWas.jpg


Апрель 2019 года

30 числа этого месяца была обнаружена первая активность Sodinokibi, кроме того стало известно, что уязвимость WebLogic CVE-2019-2725, бывшая на тот момент достаточно свежей, активно использовалась для заражения вымогателем. Из его особенностей могу перечислить случайное расширение для файлов каждой жертвы и приветствие в записке «Привет, дорогой друг». Кроме того интересно, что на уже заражённых серверах устанавливалось ещё и вредоносное ПО GandCrab, видимо чтобы получить двойной выкуп или, быть может, подстраховаться.

Май 2019 года

В конце месяца, пока все готовились к лету, кампания malspam, нацеленная на потенциальных немецких жертв, активно распространяла вымогателей Sodinokibi через спам-сообщения, замаскированные под уведомления о потере права выкупа, с вредоносными вложениями. Используя «Ankündigung der Zwangsvollstreckung» в качестве сюжетной линии, что переводится как «Объявление потери права выкупа», злоумышленники пытаются обмануть свои цели, чтобы они реагировали на приманку не задумываясь и открывали зараженные документы. После того, как жертва открыла файл, вредоносное вложение под названием «Mahnbscheid - Antwortbogen - Aktenzeichen 4650969334.doc» загружало Sodinokibi Ransomware в %Temp%\Microsoft-Word.exe с помощью макроса на основе VBA.

Июнь 2019 года

В этом месяце было сразу несколько инцидентов, начнём по порядку. Первый произшёл 19 числа, один из крупных MSP (поставщик управляемых услуг) уведомил, что у них произошел инцидент, связанный с вымогателями. Они полагали, что этот инцидент был инициирован через их консоль управления Webroot. Был также задет ещё один MSP и это был Kaseya VSA. Ох, сколько же мы о нём ещё услышим, но это будет потом, сейчас всё имеет очень малый масштаб. Сейчас для атаки использовалась лишь консоль Kaseya VSA, с помощью неё происходило распространение файла 1488.bat. Пострадавшие компании утверждали, что у них есть доказательства того, что это VSA использовался для загрузки вымогателя. Они предоставили отредактированные скриншоты своей панели управления Kaseya VSA, которые показали, как VSA использовался для запуска пакетного файла с именем 1488.bat. Проанализировав файл было выяснено, что он содержал команду PowerShell в кодировке base64, которая декодировалась для следующего скрипта. При выполнении он загрузит и выполнит ещё один скрипт из Pastebin, который включает в себя кодированный base64 установщик Sodinokibi. От ещё одной компании было получено уведомление о том, что они тоже были скомпрометированы аналогичным образом. В этом случае Webroot был отключен от консоли управления. Однако ConnectWise Control (ScreenConnect) использовался для установки вымогателей. По итогам этих атак на MSP было зашифровано 200 хостов. Всего лишь две сотни. По сравнению с количеством клиентской базой этих поставщиков 200 хостов — просто капля в море.
Чуть позже была обнаружена спам-компания, распространявшая Sodinokibi. Хакеры рассылали письма, представляясь командой Booking.com и рассказывает о неком «новом бронировании», говоря, что более подробная информация есть в прикреплённом документе. При его открытие человек видел инструкцию по включению макросов, т.к. документ якобы был создан в более новой версии Word и нужно включить совместимый режим. Не сложно догадаться, что при включении макросов сразу же происходила загрузка и запуск Sodinokibi.
А вот 21 июня было обнаружено, что WinRar перешёл на очень агрессивное требование оплаты, видимо в отместку за все случаи отказа от покупки. Он шифровал ваше устройство и за расшифровку требовал $2500, а по прошествию таймера - $5000. Разумеется, это был не WinRar, а шифровальщик Sodinokibi, однако грузился он именно с сайта архиватора, точнее с сайта его итальянского дистрибьютора, но как? А очень просто, сайт был взломан и вместо архиватора начал грузить шифроватор.
А вот 24 числа всё стало совсем интересно, ведь в арсенал Sodinokibi, который уже тогда был известен в некоторых кругах, как REvil, были добавлены наборы эксплойтов для самостоятельного проникновения в инфраструктуру. Эксперты тогда сказали, что у Sodinokibi появляются шансы стать крупным игроком среди вымогателей. Шансы? Ха. То ли ещё будет!

Июль 2019 года

Теперь, пожалуй, для удобства буду называть его REvil, чтобы не было путаницы. 4 июля было обнаружено, что теперь REvil умеет использовать уязвимость CVE-2018-8453 в компоненте Win32k, присутствующем в версиях Windows 7-10 и соответствующих версиях Server.
Немецкий национальный орган по кибербезопасности BSI 24 июля выпустил предупреждение, говорящее, что хакеры распространяют шифровальщик от имени BSI. Они используют почтовый ящик с доменом bsi-bund.org, а официальный домен органа — bsi.bund.de. В предупреждении сказано, что открывать письма от этого отправителя нельзя ни в коем случае. Используя «Warnmeldung kompromittierter Benutzerdaten» в качестве строки темы, что переводится как «Предупреждение о скомпрометированных пользовательских данных», злоумышленники пытаются обмануть свои цели, чтобы они реагировали на приманку и открывали зараженные вложения. Было протестировано и подтверждено, что вложение ZIP, поставляемое этой кампанией, заразит устройство после запуска ярлыка Windows, замаскированного под документ PDF в архиве. После выполнения ярлык запускает удаленный файл HTA (сокращение от HTML-приложения), доступный по адресу http://grouphk[.]xyz/out-1308780833.hta с помощью команды PowerShell. Что будет дальше предельно ясно, посему считаю этот инцидент рассказанным.

Август 2019 года

26 августа. Был обычный день в стоматологической клинике. Ничего не предвещало беды. Как вдруг обнаружилась утеря всех резервных копий, ведь сервер резервного копирования был поражён. Атака вымогателей зашифровала удаленную службу резервного копирования данных, и зашифрованные файлы из стоматологической практики в США. Сотни клиентов, полагающихся на решение резервного копирования, заблокировали свои данные вредоносным ПО для шифрования файлов REvil. Инцидент произошел 26 августа и повлиял на использование бизнеса DDS Safe, онлайн-резервный продукт от Digital Dental Record, который заразился через своего поставщика облачного управления PercSoft.

Сентябрь 2019 года

Только прошёл день знаний, как второго сентября стало известно, что дистрибьютор REvil взламывает сайты WordPress и вводит JavaScript, который отображает фальшивый пост на форуме Q & A по содержанию оригинального сайта. Этот поддельный пост содержит ответ от администратора сайта, который содержит ссылку на установщика вымогателей. По мере того, как программное обеспечение безопасности и люди становятся более осведомленными о методах, которые используются для распространения вымогателей и вредоносных программ, филиалы должны придумать более хитрые методы заражения своих жертв. Так обстоит дело с новым методом распространения, который накладывает фальшивый форум «Вопросы и ответы» поверх содержимого взломанного сайта. Эта фальшивая запись на форуме будет содержать информацию, касающуюся содержимого страницы, которую посещает пользователь, поэтому представляется, что ответ и ссылка, предлагаемые администратором, являются законными. В действительности, однако, загруженный файл заразит пользователя вымогателем REvil.
26 сентября стало известно, что идет новая спам-кампания, нацеленная на китайских пользователей. Эта спам-кампания притворяется, что это электронное письмо от DHL, в котором говорится, что доставка посылки была отложена из-за неправильной таможенной декларации. Затем он продолжает информировать получателя о том, что они должны загрузить прилагаемые «Таможенные документы», правильно их заполнить и отправить обратно, чтобы посылка была доставлена надлежащим образом. Если пользователь загрузит прикрепленный архив и извлечет его, он найдет файл с именем "DHL<китайские иероглифы>.doc.exe", что переводится, как "DHL Таможенная декларация Form.doc.exe". Это собственно и есть сам REvil, без скриптов, без загрузчиков. Вот так, в лоб.

Октябрь 2019 года

REvil набирает новые филиалы! Такие заголовки звучали в СМИ 2 октября. Они были абсолютно правдивы, ведь вышло исследование McAfee, в котором рассказывалось о связи GandCrab и REvil и там упоминался пост пользователя UNKN на форуме exploit.in о поиске людей в новую группировку RaaS (Ransomware as a Service). Один из отклинувшихся, пользователь Lalartu, написал, что он перешёл к UNKN из группировки GandCrab и очень доволен. На фоне этого можно было заметить растущую активность группировки и различность векторов заражения, что наводило на мысль о множестве филиалов. Так оно и оказалось, ведь каждому филиалу принадлежит собственный исполняемый файл REvil, который позволяет распознать принадлежность к разным подразделениям одной группировки. Кстати, о GandCrab будет следующая статья рубрики, очень уж много интересного про них пишут.
Чуть позже, 14 октября McAfee обнаружили, что тот же пользователь, который ранее поручился за REvil на форуме exploit.in опубликовал скриншот со списком транзакций, в котором видны части идентификаторов транзакции. Исследователи, проведя анализ, выяснили полные идентификаторы и отследили часть денежных потоков.
Очередное исследование, но на этот раз AdvIntel (Advanced Intelligence). Они обнаружили, что REvil работают с -TMT-, причём ещё с августа. Что это? Или кто? Это хакер, который занимался продажей доступа к корпоративным сетям компаний. Они начали работать с группировкой благодаря… Lalartu. Я уж не знаю, что это за чудесный человек такой, но он сделал для REvil очень много, ведь благодаря -TMT- группировка получила возможность шифровать куда более защищённые сети, ведь их уже подготовили. Несколько примеров того, доступ к каким сетям продавался этим пользователем:
  • Латиноамериканский поставщик товаров для дома работает в Чили, Боливии и Перу - 1069 хостов, 105 серверов скомпрометированы;
  • Тайваньский производитель мета - 388 хостов, 15 серверов скомпрометированы;
  • Колумбийский поставщик финансовых услуг - скомпрометировано 623 хоста;
  • Международный поставщик услуг морской логистики - скомпрометировано 668 хостов;
  • Сеть университетов и учебных заведений США - 875 хостов, 87 серверов скомпрометированы;
  • Датский производитель молочных продуктов - 1 хост, 72 сервера скомпрометированы;
  • Боливийская энергетическая компания - 270 хостов, 12 серверов скомпрометированы.
Цены варьировались от $3000 до $5000 и зависили от типа доступа в сеть и количества устройств. Так например, самые дешёвые варианты работали через RDP, т.к. вход через него проще всего заметить, а вот случай, когда удалось взломать абсолютно всю сеть, включая все панели управления, пароли и даже доступ к корпоративному VPN получил цену в $20000, что вполне заслуженно, ведь у покупателя есть право, фактически, на управление сетью.
Самое, пожалуй, интересное, произошло 21 октября. Снова отличились McAfee. Используя сеть honeypot’ов, исследователи изучили инструменты и тактику, используемые филиалами REvil, чтобы заразить своих жертв вымогателями и скомпрометировать другие машины в сети. В рамках программы RaaS исполняемые файлы вымогателей помечаются идентификаторами и суб-идентификаторами партнера, чтобы отслеживать, кто заразил жертву, и какой филиал должен получить комиссию за платеж. В то же время эти партнерские идентификаторы позволяют исследователям отслеживать поведение и рисовать картину того, как они заражают своих жертв и распространяются горизонтально по сети. Эти филиалы, известные как Группа 1, 34 и 19, изначально скомпрометировали систему через RDP, а затем использовали эту точку опоры, чтобы попытаться скомпрометировать остальную часть сети. Чтобы попытаться распространиться дальше по сети, все филиалы использовали инструменты сканирования массовых портов, чтобы найти доступные серверы RDP, а затем использовали инструмент для подбора учётных данных с пользовательскими списками паролей, чтобы попытаться получить доступ к серверам. № 34 и № 19, тем не менее, продемонстрировали более умелую тактику, такую как использование пользовательских пакетных файлов Mimikatz для сбора учетных данных сети, пользовательских сценариев для удаления журналов просмотра событий Windows и создание скрытых пользователей. № 19 представляется наиболее умелым или тщательным, поскольку McAfee видел, как они пытаются использовать локальные эксплойты для получения административного доступа на скомпрометированном компьютере. Получив доступ к административной учетной записи, филиал может легче пройти дальше в сеть предприятия. Самое, пожалуй, необычное — это то, что филиал 34 установил файловый поисковик Everything. Индексирование системы было завершено успешно и, хотя доподлинно и неизвестно, что искали злоумышленники, понятно, что это были некие конфиденциальные данные.

Ноябрь 2019 года

11 ноября СМИ рассказали о том, что пользователям Internet Explorer из Вьетнама, Кореи, Малайзии и, возможно, других азиатских стран грозит опасность, ведь с некоторых сайтов пользователя перенаправляет на шлюз набора эксплойтов RIG, который выполняет вредоносный JS, который загружает не менее вредоносный VBS. Дальнейший рассказ о том, что будет происходить считаю излишним.

Декабрь 2019 года

6 числа поставщик услуг центра обработки данных CyrusOne заявил, что 6 клиентов в его нью-йоркском дата-центре пострадали от шифровальщика.
Ну и двенадцатого числа произошло последнее заметное событие со стороны REvil, объявили, что теперь перед шифрованием они будут красть данные и использовать этот факт как рычаг давления. Как заявляют злоумышленники, эта тактика уже была применена на дата-центре CyrusOne. При отказе от уплаты выкупа данные будут опубликованы и теперь это станет повсеместной практикой.

Здесь и заканчивается первая часть из цикла про REvil. На прошлой неделе в ответ на просьбу прокомментировать прошлую статью (ту, что про Ryuk и Conti) я получил фразу «Необычно. Ноо повествование слегка скучным показалось. Не в твоём стиле)». Надеюсь, новый формат повествования всем придётся по душе и благодарю за внимание, за сим откланяюсь.
 
Последнее редактирование:
  • Нравится
Реакции: Mogen и Strife
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!