8-800-250-16-03
Бесплатный звонок
05.08.2020

Lazarus экспериментирует с новым шифровальщиком

Lazarus экспериментирует с новым шифровальщиком

Как вы знаете, хакерских группировок очень много, но не каждая добивается больших высот, чаще всего, все их старания разбиваются средствами защиты организации или сотрудниками силовых структур. Но есть и те, чьи действия навсегда остаются в нашей памяти, мы одновременно восхищаемся их злому гению, и в то же время боимся распространения киберугрозы.

Так, например, группировка Lazarus всегда выделялась на фоне коллег. Они используют методы, характерные для ATP-атак, но специализируется на финансовых киберпреступлениях. Недавно наши эксперты обнаружили новый зловред VHD, с которым группировка ведет эксперименты.

Функционально он не отличается от обычного шифровальщика: файлы жертвы шифруются, удаляются все папки System Volume Information (чем пытается саботировать механизм восстановления данных из точек восстановления Windows). Кроме того, он умеет останавливать процессы, которые потенциально могут защищать важные файлы от модификации (такие как Microsoft Exchange или SQL Server).

Но самое главное в его работе, это то, как он попадает на компьютер жертвы. Дело в том, что механизмы доставки вируса характерны для целевых атак, он заранее знает на кого и когда нападет! Мы проанализировали пару случаев, связанных с VHD.

Горизонтальное распространение по сети жертвы

В первом инциденте внимание наших экспертов привлек вредоносный код, который отвечал за распределение VHD внутри сети жертвы. У злоумышленников был доступ к спискам IP-адресов компьютеров жертвы, а также набор учетных записей администраторов. Данные использовались для брутфорс-атак на сервис SMB. Если зловреду удавалось успешно подключиться через протокол SMB к сетевой папке другого компьютера, то он копировал себя и исполнялся, шифруя его. Данная схема не характерна для массовых шифровальщиков, а характерна для ATP-организаций.

Цепочка заражения

В следующий раз эксперты из отдела реагирования на киберинциденты встретили этот же шифровальщик в процессе одного из своих расследований и смогли восстановить всю цепочку заражения. По мнения исследователей, она выглядела примерно так:

  1. Злоумышленники получили доступ к системе жертвы, проэксплуатировав уязвимый VPN-шлюз.
  2. Получили права администратора на скомпрометированной машине.
  3. Установили бэкдор.
  4. Захватили контроль над сервером Active Directory.
  5. Заразили все компьютеры сети своим шифровальщиком VHD при помощи написанного под эту задачу загрузчика. Весь процесс занял у них 10 часов.

Дальнейший анализ применяемых ими инструментов показал, что использованный бэкдор — часть мультиплатформенного фреймворка MATA (некоторые наши коллеги называют его Dacls), о котором мы писали совсем недавно. А следовательно, это очередной инструмент группировки Lazarus.

Как защититься от любого шифровальщика

Образ действий людей, стоящих за шифровальщиком-вымогателем VHD, явно отличается от среднестатистического заражения компании таким ПО. Это не общедоступный на хакерских форумах вредонос, а разработка, сделанная специально под целевые атаки. Приемы, которые злоумышленники используют для проникновения в инфраструктуру жертвы и распространения внутри сети, характерны для продуманных APT-атак.

Но постепенное размытие границ между инструментами для финансовых преступлений и APT-атак говорит о том, что даже не очень большим компаниям имеет смысл применять более продвинутые защитные технологии. Для предотвращения любого заражения используйте метод «Нулевого доверия». Метод заключается в полной проверке всех файлов, пытающихся попасть в корпоративную сеть. Если файл заражен, то его использование на конечном устройстве будет недоступно. Данная функция доступна в решении Kaspersky Sandbox, купить который вы можете на нашем сайте со скидкой 10% и дополнительно получить гарантированные призы от Лаборатории Касперского.


Возврат к списку