Как вы знаете, хакерских группировок очень много, но не каждая добивается больших высот, чаще всего, все их старания разбиваются средствами защиты организации или сотрудниками силовых структур. Но есть и те, чьи действия навсегда остаются в нашей памяти, мы одновременно восхищаемся их злому гению, и в то же время боимся распространения киберугрозы.
Так, например, группировка Lazarus всегда выделялась на фоне коллег. Они используют методы, характерные для ATP-атак, но специализируется на финансовых киберпреступлениях. Недавно наши эксперты обнаружили новый зловред VHD, с которым группировка ведет эксперименты.
Функционально он не отличается от обычного шифровальщика: файлы жертвы шифруются, удаляются все папки System Volume Information (чем пытается саботировать механизм восстановления данных из точек восстановления Windows). Кроме того, он умеет останавливать процессы, которые потенциально могут защищать важные файлы от модификации (такие как Microsoft Exchange или SQL Server).
Но самое главное в его работе, это то, как он попадает на компьютер жертвы. Дело в том, что механизмы доставки вируса характерны для целевых атак, он заранее знает на кого и когда нападет! Мы проанализировали пару случаев, связанных с VHD.
В первом инциденте внимание наших экспертов привлек вредоносный код, который отвечал за распределение VHD внутри сети жертвы. У злоумышленников был доступ к спискам IP-адресов компьютеров жертвы, а также набор учетных записей администраторов. Данные использовались для брутфорс-атак на сервис SMB. Если зловреду удавалось успешно подключиться через протокол SMB к сетевой папке другого компьютера, то он копировал себя и исполнялся, шифруя его. Данная схема не характерна для массовых шифровальщиков, а характерна для ATP-организаций.
В следующий раз эксперты из отдела реагирования на киберинциденты встретили этот же шифровальщик в процессе одного из своих расследований и смогли восстановить всю цепочку заражения. По мнения исследователей, она выглядела примерно так:
Дальнейший анализ применяемых ими инструментов показал, что использованный бэкдор — часть мультиплатформенного фреймворка MATA (некоторые наши коллеги называют его Dacls), о котором мы писали совсем недавно. А следовательно, это очередной инструмент группировки Lazarus.
Образ действий людей, стоящих за шифровальщиком-вымогателем VHD, явно отличается от среднестатистического заражения компании таким ПО. Это не общедоступный на хакерских форумах вредонос, а разработка, сделанная специально под целевые атаки. Приемы, которые злоумышленники используют для проникновения в инфраструктуру жертвы и распространения внутри сети, характерны для продуманных APT-атак.
Но постепенное размытие границ между инструментами для финансовых преступлений и APT-атак говорит о том, что даже не очень большим компаниям имеет смысл применять более продвинутые защитные технологии. Для предотвращения любого заражения используйте метод «Нулевого доверия». Метод заключается в полной проверке всех файлов, пытающихся попасть в корпоративную сеть. Если файл заражен, то его использование на конечном устройстве будет недоступно. Данная функция доступна в решении Kaspersky Sandbox, купить который вы можете на нашем сайте со скидкой 10% и дополнительно получить гарантированные призы от Лаборатории Касперского.