В России обнаружена новая хакерская группировка, которая при атаке на корпорацию маскирует вредоносный код под аккаунты действующих сотрудников. Участники рынка считают, что защититься от такой угрозы невозможно, но призывают не платить мошенникам, а почаще делать резервные копии данных.
Как это работает
Хакеры атакуют различные организации с целью распространениях программы-вымогателя, а затем требуют выкуп за расшифровку заблокированных файлов, рассказали CNews в компании Angara SOC, команда отдела реагирования и цифровой криминалистики которой и обнаружила новую хакерскую группировку - M0r0k T34m (Morok Team) (Sunset Wolf), – активную как минимум с ноября 2023 года.
Группировка применяет собственную программу-вымогатель - M0r0k, написанную при помощи Python и использующую алгоритм Fernet для рекурсивного шифрования файлов. Никакого дополнительного расширения при этом не добавляется, но в начало зашифрованного файла идет добавление строки MR !
В качестве закрепления в скомпрометированной сети и коммуникации с так называемым сервером управления используется утилита ngrok для проброса порта 3389 (RDP). Это позволяет открыть доступ к внутренним ресурсам машины.
«ngrok в принципе стал очень популярен, например, ее использование характерно для группировки Shadow Wolf (также известны как Shadow или C0met). Дополнительно атакующие создают учетные записи, которые в последующем добавляют в привилегированные группы, а выбирают названия учетных данных максимально похожих на легитимные, в том числе однофамильцев действующих сотрудников», – рассказал CNews руководитель отдела реагирования и цифровой криминалистики Angara SOC Никита Леокумович.
Кто они
Он добавил, что по особенностям работы эксперты установили, что в группировку входят русскоговорящие хакеры, однако территориальную принадлежность злоумышленников пока не установили. Кроме того, почерк преступников не похож на другие хакерские группировки, из чего можно сделать однозначный вывод, что это новая группа программистов.
«Тактики, техники и процедуры отличны от используемых известными группировками, мы отметили уникальный набор тактик, выбранных при атаке», – отметил он.
Для получения первоначального доступа в сеть M0r0k T34m использую уязвимости публично доступных приложений. После попадания в сеть, они создают там учетные записи, максимально похожие на существующие и обладающие высшими правами доступа.
«Делается это для того, чтобы их как можно дольше не заметили. Например, если сравним leokumovichn и leokumovichm, разницу сложно заметить, а это два разных пользователя. Делается расчет на то, что сотрудники ИБ атакуемой компании пропустят действия от такой учетной записи», – рассказал он.
При этом если учетная запись будет имеет минимальные права, то никаких ощутимых последствий для атакуемой систему не будет.
«Атакующему нужно создать учетную запись с максимально возможными правами, тогда можно нанести ущерб вплоть до полного уничтожения или модификации всех файлов инфраструктуры», – пояснил Леокумович.
Почему Python
Представитель Angara SOC также пояснил, что вредоносный софт, написанный на языке программирования Python встречается редко, поскольку менее удобен для написания хакерских продуктов, чем C-подобные языки.
«Для преступников использование Python создает больше сложностей, так как файлу для работы в основном требуется большое количество зависимостей и он оставляет больше следов, чем С-подобные программы, плюс занимает больший объем», – пояснил Леокумович CNews.
Кроме неудобного языка программирования, новоявленные хакеры выбрали и не самый скрытный способ доступа в сеть.
«Гораздо удобнее использовать уже существующую учётную запись. Создание новой УЗ влечет за собой ненужный «шум» в инфраструктуре, злоумышленника могут заметить», – отметил Леокумович.
Кто пострадал
По словам Леокумовича, сейчас идет расследование атаки в одной из пострадавших компаний, расположенной в России. Других данных об активности группировки нет, однако все признаки указывают, что жертв мошенников может быть больше, причем как в России, так и в других странах.
«Подобным атакам могут быть подвержены абсолютно все компании, имеющие информационную инфраструктуру. В особой зоне риска находятся компании, которые не задумываются о своей информационной безопасности», - подчеркнул Леокумович.
Кроме корпоративного сектора хакеры вполне могут использовать обнаруженные ими уязвимости ПО для доступа в частные компьютера с целью шифрования данных и шантажа владельца.
Как защититься или избежать заражения
Леокумович подчеркнул, что риск заражения может быть снижен за счет выявление массового удаления, создание или изменения файлов, добавление привилегированных учетных записей, использование утилит для удаленного подключения.
ИБ-подразделения отслеживают подобные учётные записи с помощью мониторинга событий, происходящих в инфраструктуре, выстроенных процессов реагирования, правильного подхода к ИБ в целом.
Атакующие всегда пытаются максимально скрыть свои действия, например, имитируют действия пользователя и использование инструментов, уже имеющихся на устройстве, то есть ничего с собой не «приносят» во время атаки (такой тактикой отметилась группировка NLB).
Руководитель отдела исследования угроз ИБ экспертного центра безопасности Positive Technologies Денис Кувшинов отметил, что несмотря на то, что организации сейчас довольно активно занимаются безопасностью своих корпоративных сетей, однако всё равно продолжают сталкиваться с инцидентами, в том числе и с шифровальщиками.
«Чаще всего хакеры попадают в сеть через подбор слабых паролей к сервисам удалённого доступа, например RDP. Случаи, когда даже у защищённых компаний происходят такого рода инциденты, к сожалению, не редкость. Такое происходит из-за ошибочных действий администраторов при настройке доступов», – рассказал CNews Кувшинов.
Антивирусы и EDR
Он добавил, что антивирусы и класс решений для обнаружения и изучения вредоносной активности на конечных точках EDR (Endpoint Detection & Response) позволяют обнаружить и остановить исполнение вредоносных функций вируса. Почтовые песочницы позволяют детектировать такого рода ВПО, если оно было отправлено по почте.
«Основные рекомендации: в подобных случаях нельзя перезагружать компьютер, ни в коем случае не платить выкуп, не затягивать с вызовом команды по расследованию инцидентов», - отметил Кувшинов.
Ведущий инженер CorpSoft24 Михаил Сергеев считает, что проблема с шифровальщиками очень распространена, в том числе среди крупных компаний.
«Как правило восстановить данные после работы шифровальщиков можно только из резервных копий», – пояснил Сергеев CNews.
12.02.2024 14:23:00