Размещено 24.02.2021 06:51:38
Операторы программ-вымогателей придумали еще один хитрый поворот в недавней тенденции к краже данных. После опроса нескольких жертв программы-вымогателя Clop, издание ZDNet обнаружил, что ее операторы систематически атакуют рабочие станции руководителей.
Если эта тактика сработает, а возможно, и другие семейства программ-вымогателей последуют ее примеру, точно так же, как они копировали другие успешные тактики в прошлом.
Что такое программа-вымогатель Clop?
Clop был впервые замечен в феврале 2019 года как новый вариант в семействе Cryptomix, но с тех пор он пошел по собственному пути развития. В октябре 2020 года он стал первым вымогателем, потребовавшим выкуп в размере более 20 миллионов долларов. Жертва, немецкая технологическая фирма Software AG, отказалась платить. В ответ операторы Clop опубликовали конфиденциальную информацию, собранную ими во время атаки, на Dark Web-е.
Тактика подражания
Нацеленность Клопа на руководителей - лишь последнее в списке нововведений, свидетелями которых мы стали за последние пару лет.
Давайте кратко рассмотрим некоторые из этих инноваций, от технических приемов до продвинутой социальной инженерии.
Целевые атаки
Большинство успешных семейств программ-вымогателей перешли к целевым атакам. Вместо того, чтобы пытаться зашифровать множество отдельных компьютеров с помощью вредоносных почтовых кампаний, злоумышленники вручную взламывают корпоративные сети и пытаются нанести ущерб целым организациям.
Злоумышленник обычно получает доступ к сети жертвы, используя известные уязвимости или пытаясь подобрать пароль на открытом порте RDP. Как только они получат доступ, они, вероятно, попытаются повысить свои привилегии, исследовать сеть, удалить резервные копии и распространить свои программы-вымогатели на как можно большем количестве машин.
Кража данных
Одним из последних дополнений к арсеналу программ-вымогателей является кража данных. В процессе проникновения в сеть жертвы и шифрования ее компьютеров некоторые банды вымогателей также извлекают данные с зараженных ими машин. Затем они угрожают опубликовать данные на веб-сайте или продать их с аукциона. Это дает злоумышленникам дополнительные рычаги воздействия на жертв, которые не платят или не должны платить за расшифровку своих данных.
Этот дополнительный поворот был введен Ransom.Maze, но также используется Egregor и Ransom.Clop, как мы упоминали выше.
Скрытие внутри виртуальных машин
Я предупреждал вас о технических новинках. Этот выделяется среди них. Как упоминалось в нашем отчете о состоянии вредоносного ПО за 2021 год, банда вымогателей RagnarLocker нашла новый способ шифрования файлов на конечной точке, избегая при этом защиты от программ-вымогателей.
Операторы программы-вымогателя загружают образ виртуальной машины (ВМ), загружают его в автоматическом режиме, а затем запускают внутри него программу-вымогатель, где программа защиты конечных точек не может его увидеть. Программа-вымогатель получает доступ к файлам в хост-системе через «общие папки» гостевой машины.
Шифрование виртуальных жестких дисков
В отчете о состоянии вредоносного ПО за 2021 год также упоминается программа-вымогатель RegretLocker, которая нашла способ обойти шифрование виртуальных жестких дисков (VHD). Эти файлы представляют собой огромные архивы, в которых хранится жесткий диск виртуальной машины. Если злоумышленник захочет зашифровать VHD, он перенесет мучительно медленный процесс (и каждая секунда на счету, когда вы пытаетесь не попасться) из-за размера этих файлов.
RegretLocker использует уловку для «монтирования» виртуальных жестких дисков, чтобы они были так же легко доступны, как и физический жесткий диск. Как только это будет сделано, программа-вымогатель сможет получить доступ к файлам внутри VHD и зашифровать их по отдельности, украсть или удалить. Это более быстрый метод шифрования, чем попытка нацеливания на весь файл VHD.
Нарушение безопасности и обнаружения
Программы-вымогатели также улучшают способность избегать обнаружения и отключать существующее программное обеспечение безопасности. Например, программа-вымогатель Clop останавливает 663 процесса Windows (что является огромным количеством) и пытается отключить или удалить несколько программ безопасности, прежде чем запустить процедуру шифрования.
Остановка этих процессов освобождает некоторые файлы, которые иначе нельзя было бы зашифровать, потому что они были бы заблокированы. Это также снижает вероятность срабатывания предупреждения и может препятствовать созданию новых резервных копий.
Что дальше?
Еще неизвестно, будет ли новая тактика Clop скопирована другими семействами программ-вымогателей или как она может развиваться.
Было высказано предположение, что тактика угроз утечки эксфильтрованных данных снизила ожидания некоторых жертв о том, что выплата выкупа положит конец их неприятностям. Конкретный таргетинг на данные руководителей может быть способом исправить это за счет усиления давления на жертв.
Clop или его подражатель может также попытаться использовать информацию, найденную на машинах менеджеров, для распространения в другие организации. Рассмотрим, например, метод, известный как захват цепочки электронных писем, который использует существующие электронные письма (и, следовательно, доверительные отношения) для распространения среди новых жертв. Или информация может быть продана злоумышленникам, специализирующимся на взломе деловой электронной почты (BEC).
Для заинтересованных, IOC и другие технические подробности о Clop можно найти в профиле обнаружения.
Если эта тактика сработает, а возможно, и другие семейства программ-вымогателей последуют ее примеру, точно так же, как они копировали другие успешные тактики в прошлом.
Что такое программа-вымогатель Clop?
Clop был впервые замечен в феврале 2019 года как новый вариант в семействе Cryptomix, но с тех пор он пошел по собственному пути развития. В октябре 2020 года он стал первым вымогателем, потребовавшим выкуп в размере более 20 миллионов долларов. Жертва, немецкая технологическая фирма Software AG, отказалась платить. В ответ операторы Clop опубликовали конфиденциальную информацию, собранную ими во время атаки, на Dark Web-е.
Тактика подражания
Нацеленность Клопа на руководителей - лишь последнее в списке нововведений, свидетелями которых мы стали за последние пару лет.
Давайте кратко рассмотрим некоторые из этих инноваций, от технических приемов до продвинутой социальной инженерии.
Целевые атаки
Большинство успешных семейств программ-вымогателей перешли к целевым атакам. Вместо того, чтобы пытаться зашифровать множество отдельных компьютеров с помощью вредоносных почтовых кампаний, злоумышленники вручную взламывают корпоративные сети и пытаются нанести ущерб целым организациям.
Злоумышленник обычно получает доступ к сети жертвы, используя известные уязвимости или пытаясь подобрать пароль на открытом порте RDP. Как только они получат доступ, они, вероятно, попытаются повысить свои привилегии, исследовать сеть, удалить резервные копии и распространить свои программы-вымогатели на как можно большем количестве машин.
Кража данных
Одним из последних дополнений к арсеналу программ-вымогателей является кража данных. В процессе проникновения в сеть жертвы и шифрования ее компьютеров некоторые банды вымогателей также извлекают данные с зараженных ими машин. Затем они угрожают опубликовать данные на веб-сайте или продать их с аукциона. Это дает злоумышленникам дополнительные рычаги воздействия на жертв, которые не платят или не должны платить за расшифровку своих данных.
Этот дополнительный поворот был введен Ransom.Maze, но также используется Egregor и Ransom.Clop, как мы упоминали выше.
Скрытие внутри виртуальных машин
Я предупреждал вас о технических новинках. Этот выделяется среди них. Как упоминалось в нашем отчете о состоянии вредоносного ПО за 2021 год, банда вымогателей RagnarLocker нашла новый способ шифрования файлов на конечной точке, избегая при этом защиты от программ-вымогателей.
Операторы программы-вымогателя загружают образ виртуальной машины (ВМ), загружают его в автоматическом режиме, а затем запускают внутри него программу-вымогатель, где программа защиты конечных точек не может его увидеть. Программа-вымогатель получает доступ к файлам в хост-системе через «общие папки» гостевой машины.
Шифрование виртуальных жестких дисков
В отчете о состоянии вредоносного ПО за 2021 год также упоминается программа-вымогатель RegretLocker, которая нашла способ обойти шифрование виртуальных жестких дисков (VHD). Эти файлы представляют собой огромные архивы, в которых хранится жесткий диск виртуальной машины. Если злоумышленник захочет зашифровать VHD, он перенесет мучительно медленный процесс (и каждая секунда на счету, когда вы пытаетесь не попасться) из-за размера этих файлов.
RegretLocker использует уловку для «монтирования» виртуальных жестких дисков, чтобы они были так же легко доступны, как и физический жесткий диск. Как только это будет сделано, программа-вымогатель сможет получить доступ к файлам внутри VHD и зашифровать их по отдельности, украсть или удалить. Это более быстрый метод шифрования, чем попытка нацеливания на весь файл VHD.
Нарушение безопасности и обнаружения
Программы-вымогатели также улучшают способность избегать обнаружения и отключать существующее программное обеспечение безопасности. Например, программа-вымогатель Clop останавливает 663 процесса Windows (что является огромным количеством) и пытается отключить или удалить несколько программ безопасности, прежде чем запустить процедуру шифрования.
Остановка этих процессов освобождает некоторые файлы, которые иначе нельзя было бы зашифровать, потому что они были бы заблокированы. Это также снижает вероятность срабатывания предупреждения и может препятствовать созданию новых резервных копий.
Что дальше?
Еще неизвестно, будет ли новая тактика Clop скопирована другими семействами программ-вымогателей или как она может развиваться.
Было высказано предположение, что тактика угроз утечки эксфильтрованных данных снизила ожидания некоторых жертв о том, что выплата выкупа положит конец их неприятностям. Конкретный таргетинг на данные руководителей может быть способом исправить это за счет усиления давления на жертв.
Clop или его подражатель может также попытаться использовать информацию, найденную на машинах менеджеров, для распространения в другие организации. Рассмотрим, например, метод, известный как захват цепочки электронных писем, который использует существующие электронные письма (и, следовательно, доверительные отношения) для распространения среди новых жертв. Или информация может быть продана злоумышленникам, специализирующимся на взломе деловой электронной почты (BEC).
Для заинтересованных, IOC и другие технические подробности о Clop можно найти в профиле обнаружения.