Обнаружена группировка русскоязычных хакеров, которая пишет на неудобном языке программирования
В России обнаружена новая хакерская группировка, которая при атаке на корпорацию маскирует вредоносный код под аккаунты действующих сотрудников. Участники рынка считают, что защититься от такой угрозы невозможно, но призывают не платить мошенникам, а почаще делать резервные копии данных.Как это работает
Хакеры атакуют различные организации с целью распространениях программы-вымогателя, а затем требуют выкуп за расшифровку заблокированных файлов, рассказали CNews в компании Angara SOC, команда отдела реагирования и цифровой криминалистики которой и обнаружила новую хакерскую группировку - M0r0k T34m (Morok Team) (Sunset Wolf), – активную как минимум с ноября 2023 года.
Группировка применяет собственную программу-вымогатель - M0r0k, написанную при помощи Python и использующую алгоритм Fernet для рекурсивного шифрования файлов. Никакого дополнительного расширения при этом не добавляется, но в начало зашифрованного файла идет добавление строки MR !
В качестве закрепления в скомпрометированной сети и коммуникации с так называемым сервером управления используется утилита ngrok для проброса порта 3389 (RDP). Это позволяет открыть доступ к внутренним ресурсам машины.
«ngrok в принципе стал очень популярен, например, ее использование характерно для группировки Shadow Wolf (также известны как Shadow или C0met). Дополнительно атакующие создают учетные записи, которые в последующем добавляют в привилегированные группы, а выбирают названия учетных данных максимально похожих на легитимные, в том числе однофамильцев действующих сотрудников», – рассказал CNews руководитель отдела реагирования и цифровой криминалистики Angara SOC Никита Леокумович.
Кто они
Он добавил, что по особенностям работы эксперты установили, что в группировку входят русскоговорящие хакеры, однако территориальную принадлежность злоумышленников пока не установили. Кроме того, почерк преступников не похож на другие хакерские группировки, из чего можно сделать однозначный вывод, что это новая группа программистов.
«Тактики, техники и процедуры отличны от используемых известными группировками, мы отметили уникальный набор тактик, выбранных при атаке», – отметил он.
Для получения первоначального доступа в сеть M0r0k T34m использую уязвимости публично доступных приложений. После попадания в сеть, они создают там учетные записи, максимально похожие на существующие и обладающие высшими правами доступа.
«Делается это для того, чтобы их как можно дольше не заметили. Например если сравним leokumovichn и leokumovichm, разницу сложно заметить, а это два разных пользователя. Делается расчет на то, что сотрудники ИБ атакуемой компании пропустят действия от такой учетной записи», – рассказал он.
При этом если учетная запись будет имеет минимальные права, то никаких ощутимых последствий для атакуемой систему не будет.
«Атакующему нужно создать учетную запись с максимально возможными правами, тогда можно нанести ущерб вплоть до полного уничтожения или модификации всех файлов инфраструктуры», – пояснил Леокумович.
Почему Python
Представитель Angara SOC также пояснил, что вредоносный софт, написанный на языке программирования Python встречается редко, поскольку менее удобен для написания хакерских продуктов, чем C-подобные языки.
«Для преступников использование Python создает больше сложностей, так как файлу для работы в основном требуется большое количество зависимостей и он оставляет больше следов, чем С-подобные программы, плюс занимает больший объем», – пояснил Леокумович CNews.
Кроме неудобного языка программирования, новоявленные хакеры выбрали и не самый скрытный способ доступа в сеть.
«Гораздо удобнее использовать уже существующую учётную запись. Создание новой УЗ влечет за собой ненужный «шум» в инфраструктуре, злоумышленника могут заметить», – отметил Леокумович.
Кто пострадал
По словам Леокумовича, сейчас идет расследование атаки в одной из пострадавших компаний, расположенной в России. Других данных об активности группировки нет, однако все признаки указывают, что жертв мошенников может быть больше, причем как в России, так и в других странах.
«Подобным атакам могут быть подвержены абсолютно все компании, имеющие информационную инфраструктуру. В особой зоне риска находятся компании, которые не задумываются о своей информационной безопасности», - подчеркнул Леокумович.
Кроме корпоративного сектора хакеры вполне могут использовать обнаруженные ими уязвимости ПО для доступа в частные компьютера с целью шифрования данных и шантажа владельца.
Как защититься или избежать заражения
Леокумович подчеркнул, что риск заражения может быть снижен за счет выявление массового удаления, создание или изменения файлов, добавление привилегированных учетных записей, использование утилит для удаленного подключения.
ИБ-подразделения отслеживают подобные учётные записи с помощью мониторинга событий, происходящих в инфраструктуре, выстроенных процессов реагирования, правильного подхода к ИБ в целом.
Атакующие всегда пытаются максимально скрыть свои действия, например, имитируют действия пользователя и использование инструментов, уже имеющихся на устройстве, то есть ничего с собой не «приносят» во время атаки (такой тактикой отметилась группировка NLB).
Руководитель отдела исследования угроз ИБ экспертного центра безопасности Positive Technologies Денис Кувшинов отметил, что несмотря на то, что организации сейчас довольно активно занимаются безопасностью своих корпоративных сетей, однако всё равно продолжают сталкиваться с инцидентами, в том числе и с шифровальщиками.
«Чаще всего хакеры попадают в сеть через подбор слабых паролей к сервисам удалённого доступа, например RDP. Случаи, когда даже у защищённых компаний происходят такого рода инциденты, к сожалению, не редкость. Такое происходит из-за ошибочных действий администраторов при настройке доступов», – рассказал CNews Кувшинов.
Антивирусы и EDR
Он добавил, что антивирусы и класс решений для обнаружения и изучения вредоносной активности на конечных точках EDR (Endpoint Detection & Response) позволяют обнаружить и остановить исполнение вредоносных функций вируса. Почтовые песочницы позволяют детектировать такого рода ВПО, если оно было отправлено по почте.
«Основные рекомендации: в подобных случаях нельзя перезагружать компьютер, ни в коем случае не платить выкуп, не затягивать с вызовом команды по расследованию инцидентов», - отметил Кувшинов.
Ведущий инженер CorpSoft24 Михаил Сергеев считает, что проблема с шифровальщиками очень распространена, в том числе среди крупных компаний.
«Как правило восстановить данные после работы шифровальщиков можно только из резервных копий», – пояснил Сергеев CNews.
Он также отметил, что затруднить работу хакеров могут антивирусные программы.
«Существует большое количество различного программного обеспечения и антивирусов, которые позволяют блокировать работу шифровальщиков даже если они уже проникли в систему», – отметил Сергеев.
Что вымогают шифровальщики
По словам Сергеева, в большинстве случаев хакеры вымогают деньги в формате криптовалюты на анонимный кошелек, после чего в 99% случаях свои обязательства по дешифрованию файлов не выполняют.
«В этой цепочке нет гаранта, зачем дешифровывать, если деньги они уже получили? Поэтому никогда не платите деньги вымогателям, защищайте свою инфраструктуру, делайте резервные копии и их тоже защищайте», - подчеркнул CorpSoft24.
Как заткнуть дыры
Сергеев отметил. что в любом программном обеспечении периодические находят новые уязвимости, даже если программе уже 10 лет, поэтому нужно постоянно обновлять ПО и по возможности закрывать доступ к нему извне, а также использовать двухфакторную авторизацию и обучать сотрудников компьютерной безопасности.
Стратегический директор по ИТ, продуктам и сервисам PRO32 Руслан Сулейманов рассказал CNews, что современные антивирусы практически полностью исключают проникновение злоумышленников на компьютер.
«Все современные комплексные антивирусные решения, использующие комбинированный подход к обнаружению таких угроз в виде сигнатурного метода и эвристики, практически полностью исключают атаки такого рода», – отметил Сулейманов.
При этом, из-за постоянного появления новых хакерских решений, в России примерно каждая 10-я компания сталкивается с вирусом шифровальщика.
«Часть компаний умалчивают об атаке, так как кроме возможной потери данных, последнее время злоумышленники часто угрожают ещё и опубликовать данные в сети, если им не заплатят выкуп. Для некоторых компаний это даже хуже, чем просто потеря данных. Сколько компаний умалчивают - сказать сложно, обычно это очень чувствительный вопрос и компании не заинтересованы делиться такой информацией ни с кем», - отметил представитель PRO32.