Чтобы получить начальный доступ к целевой сети, группа использовала свой давний инструмент троян Dridex. Троян позволял злоумышленникам загружать PowerShell Empire популярный фреймворк постэксплуатации, чтобы перемещаться по сети и получать расширенные права доступа, в том числе с использованием Mimikatz, как делали операторы SamSam.
Преступники развертывали программу-вымогатель в масштабах предприятия, используя модификацию групповой политики, которая позволяла им отправлять на каждый хост скрипт для запуска экземпляра программы-вымогателя.
Злоумышленники общались с жертвами как по электронной почте, так и в онлайн-чатах.
Рис. 1.3. Пример сообщения BitPaymer с требованием выкупа[2]
В июне 2019 г. появилась новая программа-вымогатель DoppelPaymer, основанная на BitPaymer. Считается, что ею управляла дочерняя группа Evil Corp (источник: https://www.crowdstrike.com/blog/doppelpaymer-ransomware-and-dridex-2/).
Создатели программы-вымогателя BitPaymer
13 ноября 2019 г. ФБР обнародовало заключение, в котором виновными в управлении троянскими программами Dridex были названы Максим Викторович Якубец и Игорь Олегович Турашев.
Рис. 1.4. Фрагмент плаката ФБР о розыске
Максим Викторович Якубец в настоящее время находится в розыске по нескольким пунктам обвинения в киберпреступной деятельности. По различным данным, за его поимку назначена награда в $5 млн.
Разумеется, Dridex не был единственным трояном, использованным в атаках программ-вымогателей, управляемых людьми. Другой яркий пример Trickbot, тесно связанный с программой-вымогателем Ryuk.
2018 г. программа-вымогатель Ryuk
Программа-вымогатель Ryuk вывела охоту на крупную дичь на новый уровень. Этот штамм программы-вымогателя, связанный с группой Trickbot, также известной как Wizard Spider, активен и сегодня.
По данным AdvIntel, за свою историю группа атаковала различные организации и заработала не менее $150 млн (источник: https://www.advanced-intel.com/post/crime-laundering-primer-inside-ryuk-crime-crypto-ledger-risky-asian-crypto-traders).
Некоторое время Ryuk называли тройной угрозой, поскольку заражения обычно начинались с трояна Emotet, который загружал Trickbot, который, в свою очередь, использовался для загрузки инструментов постэксплуатации и окончательного развертывания программы-вымогателя. Обычно Trickbot использовался для загрузки агента PowerShell Empire или Cobalt Strike Beacon элемента еще одного чрезвычайно популярного фреймворка постэксплуатации.
Недавно группа изменила набор инструментов и стала использовать новый троян под названием Bazar. Интересно, что они начали применять «вишинг» (голосовой фишинг). Фишинговые письма содержат не вредоносные файлы или ссылки, а лишь ложную информацию о платной подписке и номер телефона, по которому можно позвонить, чтобы отменить ее. Если жертва звонит по номеру, оператор подсказывает ей загрузить вредоносный файл Microsoft Office, открыть его и включить макросы, которые заражают компьютер трояном Bazar. Как и в случае с Trickbot, троян используется для загрузки и запуска фреймворка постэксплуатации чаще всего Cobalt Strike.
Злоумышленники использовали несколько методов запуска Ryuk, в том числе ранее упомянутый PsExec и модификацию групповой политики. Поначалу они указывали адреса электронной почты, чтобы жертвы могли связаться с ними, но вскоре начали использовать onion-сервисы Tor.
Рис. 1.5. Инструкции, указанные в сообщении о выкупе[3]
Операторы программы-вымогателя Ryuk по-прежнему активны и, по данным AdvIntel и HYAS, уже заработали более $150 млн (источник: https://www.advanced-intel.com/post/crime-laundering-primer-inside-ryuk-crime-crypto-ledger-risky-asian-crypto-traders).
Кто стоит за программой-вымогателем Ryuk?
4 июня 2021 г. ФБР обнародовало документ, обвиняющий Аллу Витте, также известную как Макс, в причастности к транснациональной организации, ответственной за создание и распространение трояна Trickbot.
Некоторые другие лица, связанные с Ryuk, были операторами ботнета Emotet. Их арестовали в январе 2021 г. в результате совместной операции правоохранительных органов Нидерландов, Германии, США, Великобритании, Франции, Литвы, Канады и Украины. В результате власти взяли инфраструктуру ботнета под полный контроль.
Вот как выглядело рабочее место операторов Emotet.
Рис. 1.6. Рабочее место операторов Emotet
Несмотря на аресты злоумышленников, «большая игра» привлекает все больше и больше киберпреступников. В результате появился еще один феномен программа-вымогатель как услуга.
2019 г. настоящее время: программы-вымогатели как услуга (RaaS)
2019 г. был годом роста популярности программ-вымогателей как услуги, и сегодня они по-прежнему остаются главной тенденцией. Многие разработчики программ-вымогателей начали предлагать свои продукты различным злоумышленникам в обмен на процент от полученного выкупа.
REvil, LockBit, Ragnar Locker, Nefilim лишь некоторые из семейств программ-вымогателей, распространяемых по модели «программа-вымогатель как услуга». И даже если несколько злоумышленников используют один и тот же тип программы-вымогателя, их тактики, техники и процедуры могут быть очень разными.
Тем не менее в настоящее время многие злоумышленники используют один и тот же подход: они извлекают данные до фактического развертывания программ-вымогателей. Этот тренд заложили еще в 2019 г. операторы программ-вымогателей Maze. В настоящее время почти все злоумышленники, предпринимающие подобные атаки, имеют свои собственные сайты утечки данных (Data Leak Site, DLS).
Вот пример DLS, используемого в операциях с программой-вымогателем DoppelPaymer.
Рис. 1.7. DLS DoppelPaymer[4]
Обычно инициаторы атаки не управляют сами всем ее жизненным циклом, а пользуются услугами других злоумышленников. Например, они могут сотрудничать с брокерами первоначального доступа, которые позволяют им проникнуть в скомпрометированные корпоративные сети. В некоторых случаях они могут платить профессиональным тестировщикам на проникновение (пентестерам) за расширение прав доступа или обход защиты, чтобы затем беспрепятственно запускать программы-вымогатели в масштабах всего предприятия.
Злоумышленники, участвующие в проекте, могут получать различные доли от выкупа. Обычно разработчики получают около 20 %, инициаторы атаки около 50 %, брокеры первоначального доступа 10 %, а остальное достается вспомогательным злоумышленникам, например пентестерам или переговорщикам.
Программы-вымогатели как услуга в настоящее время чрезвычайно распространены. Согласно отчету Group-IB Ransomware Uncovered 2020/2021 (https://www.group-ib.com/resources/research-hub/ransomware-2021/), 64 % всех атак программ-вымогателей в 2020 г. были совершены лицами, связанными с RaaS.
Кто стоял за программами-вымогателями как услугой?
Одному из лиц, связанных с программой-вымогателем NetWalker, Себастьену Вашон-Дежардену, гражданину Канады, было предъявлено обвинение в январе 2021 г. Утверждается, что он в общей сложности заработал вымогательством более $27,6 млн.
Другой пример пара лиц, аффилированных с программой-вымогателем Egregor, которые были арестованы с помощью французских властей, отследивших уплаты выкупа в их адрес.
Еще один пример лица, связанные с программой-вымогателем Clop, которые помогали злоумышленникам в отмывании денег и также были арестованы в июне 2021 г.
Таким образом, программы-вымогатели как услуга позволили присоединиться к «большой игре» многим киберпреступникам даже тем, кому не хватало навыков и возможностей. Это один из важных факторов превращения атак программ-вымогателей, управляемых людьми, в киберпандемию.
Выводы
В этой главе вы ознакомились с историей современных атак с использованием программ-вымогателей и немного узнали о тактиках, техниках и процедурах злоумышленников, их бизнес-модели и даже о некоторых людях, которые стояли за описанными атаками.
В следующей главе мы углубимся в современную картину угроз, связанную с программами-вымогателями, и сосредоточимся на жизненном цикле атаки от получения первоначального доступа до фактического запуска программы-вымогателя.
Глава 2
Жизненный цикл современной атаки с использованием программы-вымогателя
Атаки с использованием программ-вымогателей могут быть очень сложными, особенно если речь идет об охоте на крупную дичь корпорации. Поэтому, прежде чем углубляться в технические детали, очень важно разобраться в том, как устроен жизненный цикл типичной атаки. Понимание жизненного цикла атаки помогает специалистам по безопасности правильно реконструировать инциденты и принимать верные решения на различных этапах реагирования.
Как вы уже знаете из главы 1 «История современных атак с использованием программ-вымогателей», программой-вымогателем как услугой может управлять как группа лиц, так и ряд отдельных злоумышленников. Что это значит? Тактики, техники и процедуры могут сильно различаться, но жизненный цикл атаки в большинстве случаев будет примерно одинаковым, поскольку злоумышленники обычно преследуют две основные цели украсть конфиденциальную информацию из целевой сети и развернуть копию программы-вымогателя в масштабах предприятия.
В этой главе мы кратко обсудим различные этапы атак программ-вымогателей, управляемых человеком, чтобы сформировать ясное представление о жизненном цикле этих атак и подготовиться к погружению в технические детали.
В этой главе мы рассмотрим следующие темы:
Начальные векторы атаки.
Постэксплуатация.
Кража данных.
Развертывание программ-вымогателей.
Начальные векторы атаки
Любая атака начинается с получения первоначального доступа. Это можно сделать через подключенный к внутренней сети VPN, доставленный с помощью целевого фишинга троян, развернутый с помощью взлома общедоступного приложения веб-интерфейс и даже с помощью атаки на цепочку поставок (другой термин атака через третью сторону).
Три наиболее распространенных начальных вектора атаки это получение доступа через протокол удаленного рабочего стола (RDP), целевой фишинг и эксплуатация уязвимостей программного обеспечения.
Ниже приведены статистические данные о наиболее распространенных векторах атак программ-вымогателей до II квартала 2021 г. включительно, собранные Coveware (источник: https://www.coveware.com/blog/2021/7/23/q2-ransom-payment-amounts-decline-as-ransomware-becomes-a-national-security-priority).
Рис. 2.1. Наиболее распространенные векторы атак программ-вымогателей, согласно Coveware
Рассмотрим каждый из них подробнее и сопроводим примерами.
Получение доступа через протокол удаленного рабочего стола (RDP)
В течение многих лет RDP оставался наиболее распространенным способом доступа злоумышленников к целевой сети. Из главы 1 «История современных атак с использованием программ-вымогателей» вы уже знаете, что его использовали пионеры подобных атак операторы SamSam. Конечно, SamSam не единственный пример. В настоящее время этим вектором пользуется множество злоумышленников и действующие от случая к случаю, как операторы программы-вымогателя Dharma, и целенаправленные организованные группы вроде REvil.
Пандемия усугубила ситуацию многие компании предоставили своим сотрудникам возможность удаленной работы и были вынуждены открыть свои серверы, которые стали мишенями для разного рода злоумышленников, включая операторов программ-вымогателей.
Например, воспользовавшись системой поиска общедоступных серверов Shodan с открытым портом 3389 (порт по умолчанию для RDP), можно увидеть миллионы устройств.
Рис. 2.2. Количество устройств, подключенных к интернету с открытым портом 3389
Простейший поиск выдает миллионы результатов это одна из причин, по которой данный начальный вектор атаки так популярен среди операторов программ-вымогателей.
На практике злоумышленники не всегда пытаются сами атаковать такие серверы, они могут просто купить доступ к ним. Операторы программ-вымогателей как услуги могут не только арендовать программы-вымогатели, но и покупать доступ к корпоративным сетям у так называемых брокеров первоначального доступа. Такие брокеры обычно не участвуют в этапе постэксплуатации, чаще они продают первоначальный доступ или отдают его за долю (в среднем до 10 %) в возможной сумме выкупа.
Иногда операторы программ-вымогателей даже создают темы на андеграундных форумах, чтобы привлечь внимание брокеров первоначального доступа. Вот, например, сообщение, предоставленное платформой Threat Intelligence and Attribution
Сноски
1
#Что случилось с вашими файлами?
Все ваши файлы зашифрованы с помощью алгоритма RSA-2048 см. «RSA-шифрование» в поиске Google.
#Как восстановить файлы?
RSA это асимметричный криптографический алгоритм. Вам нужен один ключ для зашифровки и другой ключ для расшифровки.
Это значит, что для восстановления файлов вам нужен закрытый ключ.
Без закрытого ключа восстановить файлы невозможно.
#Как получить закрытый ключ?
Чтобы получить закрытый ключ, выполните три простых шага.
Шаг 1: отправьте нам 1,7 биткойна за каждый пораженный компьютер или 28 биткойнов за все пораженные компьютеры.
Шаг 2: после того как вы отправите нам 1,7 биткойна, оставьте на нашем сайте комментарий с вашим именем хоста.
* Ваш хост
Шаг 3: в ответ мы вышлем вам программу дешифрования. Вам нужно будет запустить ее на пораженном компьютере, и все зашифрованные файлы будут восстановлены.
Наш сайт:
Наш биткойн-кошелек:
(Если вы отправите нам 28 биткойнов за все пораженные компьютеры, оставьте на сайте комментарий «За все пораженные компьютеры».)
(Также вы можете отправить нам 14 биткойнов, получить 14 ключей (случайным образом), а после проверки доплатить, чтобы получить оставшиеся ключи.)
Как попасть на наш сайт?
Чтобы зайти на наш сайт, вы должны установить браузер TOR и ввести в нем адрес нашего сайта.
Загрузить браузер TOR можно по ссылке
См. также в Google «Как открывать onion-сайты».
#Тестовое дешифрование
Вы можете скачать с нашего сайта два зашифрованных файла, и мы расшифруем их для вас.
#Где купить биткойн
Мы советуем покупать биткойны за наличные или через Western Union у , потому что они не требуют проверки и высылают биткойны быстро.
#Крайний срок
Если в течение семи дней вы не отправите нам биткойны, мы удалим ваши закрытые ключи и файлы будет невозможно восстановить.
2
Ваша сеть взломана.
Все файлы на каждом хосте сети зашифрованы с помощью надежного алгоритма.
Резервные копии либо зашифрованы или удалены, либо отформатированы диски резервных копий.
У нас есть уникальное программное обеспечение для расшифровки ваших файлов.
Не перезагружайте и не выключайте компьютер это может повредить файлы.
Не переименовывайте зашифрованные файлы или файлы readme.