Кто ты, LockerGoga, гроза заводов? Вайпер, троян, вымогатель?

Опубликовано at 12:45
267 0

Эксперты пытаются исследовать нашумевший зловред LockerGoga, нанесший немалый реальный ущерб производствам и пока что знают о нем обескураживающе мало. Можно даже сказать, что зловред больше напоминает вайпер, чем обычное вымогательское ПО.

Появившееся недавно вымогательское ПО LockerGoga вызвало настоящую панику среди промышленных компаний. На прошлой неделе жертвой вредоноса стал один из мировых лидеров по производству алюминия норвежская компания Norsk Hydro, потерявшая в результате атаки порядка $40 млн.

Несмотря на все усилия аналитиков и специалистов по кибербезопасности, в настоящее время о LockerGoga известно очень мало. Единственно, что понятно – операторы вымогателя постоянно добавляют в него новые возможности, а их целью является причинения максимального финансового ущерба. Специалисты команды Unit 42 компании Palo Alto Networks выявили 31 образец вредоносного ПО, схожий с оригинальным LockerGoga по коду и функционалу.

В попытке разобраться в происхождении названия LockerGoga исследователи из Unit 42 изучили код вымогателя, атаковавшего Altran Technologies (с которых, по-видимому, началась кампания), и не нашли там ни одной строки с упоминанием LockerGoga. Очевидно, название было взято из директории исходного кода X:\work\Projects\LockerGoga\cl-src-last\cryptopp\src\rijndael_simd.cpp для SHA-256 bdf36127817413f625d2625d3133760af724d6ad2410bea7297ddc116abc268f, обнаруженной командой MalwareHunterTeam. Эта строка также фигурирует в связи с более ранним вариантом вымогательского ПО, идентифицируемого Symantec как Ransom.GoGalocker.

Любопытно, что по своей структуре LockerGoga не является сложной программой, у него даже отсутствует функционал червя, то есть, он не может распространяться по сети самостоятельно – злоумышленники просто копировали и вставляли его вручную от одного компьютера к другому. Оригинальный LockerGoga написан на языке программирования C++ с использованием доступных библиотек Boost, Cryptopp и regex. Для успешного выполнения на атакуемой системе вредоносу требуются права администратора, однако исследователи до сих пор не могут понять, через какую дыру он их получает.

После выполнения вымогатель шифрует все файлы на компьютере и подключенных к нему внешних накопителях, а на экране появляется уведомление с требованием выкупа и электронным адресом. Не шифруются файлы с расширениями .dll, .lnk, .sys, .locked, файлы в директориях Microsoft\Windows\burn, файлы dat и log, файлы, начинающиеся с ntsuser или usrclass, а также файл readme-now.txt.

Ранее АКБ сообщало, что специалисты по кибербезопасности из американской компании Alert Logic обнаружили баг в LockerGoga, который в теории позволит создать временную «вакцину» против грозного зловреда.

Проблема связана с рутинными операциями LockerGoga, которые выполняются еще до начала шифрования файлов. Так, сначала вымогатель сканирует все файлы в системе жертвы, определяя, что именно будет зашифровано, а что пропущено. Если в это время LockerGoga наткнется на файл-ярлык LNK, содержащий некорректный путь, то процесс малвари завершится с ошибкой, что предотвратит запуск самой процедуры шифрования, и пользователь будет спасен.

Исследователи выявили уже как минимум два способа создания файлов LNK, чтобы те вызывали сбои в работе LockerGoga. В первом случае, как было сказано выше, файл должен содержать некорректный путь. Во втором случае файл не должен ассоциироваться с RPC-эндпоитом.

В Alert Logic полагают, что данная особенность LockerGoga может пригодиться ИБ-специалистам и производителям антивирусных решений. Дело в том, что баг фактически позволяет создать «вакцину»: специальный файл LNK, который не даст стартовать шифрованию. К сожалению, это решение будет актуально лишь до тех пор, пока разработчики LockerGoga не узнали об этой проблеме и не исправили ее в новых версиях.

АКБ также напоминает, что неделю назад один из крупнейших мировых производителей алюминия, компания Norsk Hydro, подверглась хакерской атаке LockerGoga, которая повлекла за собой сбой в работе производственных объектов. Из-за кибератаки часть рабочих процессов на производстве переведены в ручной режим, некоторые другие процессы – приостановлены. Кибератака продемонстрировала обратную сторону единой цифровой инфраструктуры: она затронула работу компании в разных странах, в том числе в Норвегии, Катаре и Бразилии. Часть рабочих процессов на производстве были переведены в ручной режим, некоторые другие процессы – приостановлены.

Компания приняла меры для нейтрализации атаки, однако пока затрудняется назвать ее точные масштабы. О том, кто может быть причастен к хакерской атаке, не сообщается.

Позднее появились интересные подробности: компания попала под удар шифровальщика LockerGoga — причем чтобы остановить распространение зловреда, IT-специалистам пришлось изолировать предприятия и перевести несколько из них на ручное управление, в том числе заводы в Бразилии, Катаре и Норвегии на ручной режим перешли плавильные предприятия. Сотрудников просили не включать компьютеры и не присоединяться к корпоративной сети.

До атаки на Norsk Hydro жертвами LockerGoga стали две американские химические компании Hexion и Momentive. При этом реакция американцев на шифровальщик была довольно странной, сообщается, что сперва Momentive «обратились за помощью к вооруженным спецподразделениям SWAT» (?!), а затем просто выбросили всю технику и «заказали сотни новых компьютеров» (видимо грозные окрики спецназа на вирус не повлияли).

Подписываемся, следим @CyberAgency

Related Post

Добавить комментарий