Киберпреступная группировка FIN6, известная своими атаками на PoS-терминалы и воровством миллионов кредиток, расширила сферу деятельности. Теперь, по данным экспертов из Fire Eye, в ее арсенал входят показавшее себя на практике вымогательское ПО LockerGoga и шифровальщик Ryuk из арсенала Lazarus.
Атаки начались в июле 2018 года, в это же время число атак на PoS-терминалы, осуществляемых группировкой, значительно сократилось. Эксперты не раскрыли названия пострадавших компаний, но уточнили, что речь идет об ущербе в десятки миллионов долларов.
Сообщается, что, проникнув в сеть жертвы, злоумышленники «разведывают обстановку» с помощью различных средств: краденных учетных данных, инструмента Cobalt Strike, ПО Metasploit, AdFind и 7-Zip. Продвижение по сети осуществляется через протокол удаленного подключения RDP. После установки соединения атакующие используют две техники: первая предполагает применение PowerShell для выполнения зашифрованных команд, внедрения Cobalt Strike на скомпрометированную систему и загрузку вредоносного ПО. Вторая заключается в создании рандомных сервисов Windows для исполнения команд PowerShell и загрузки дополнительных вредоносных модулей с управляющего сервера. С помощью архиватора 7-Zip похищенные данные запаковываются и затем отправляются на С&C-сервер.
Про LockerGoga АКБ писало много и детально. Например о том, как эксперты пытаются понять, что же есть такое этот нашумевший зловред, нанесший немалый реальный ущерб производствам и пока что знают о нем обескураживающе мало . Можно даже сказать, что зловред больше напоминает вайпер, чем обычное вымогательское ПО.
Появившееся недавно вымогательское ПО LockerGoga вызвало настоящую панику среди промышленных компаний. На прошлой неделе жертвой вредоноса стал один из мировых лидеров по производству алюминия норвежская компания Norsk Hydro, потерявшая в результате атаки порядка $40 млн.
Любопытно, что по своей структуре LockerGoga не является сложной программой, у него даже отсутствует функционал червя, то есть, он не может распространяться по сети самостоятельно – злоумышленники просто копировали и вставляли его вручную от одного компьютера к другому. Оригинальный LockerGoga написан на языке программирования C++ с использованием доступных библиотек Boost, Cryptopp и regex. Для успешного выполнения на атакуемой системе вредоносу требуются права администратора, однако исследователи до сих пор не могут понять, через какую дыру он их получает.
После выполнения вымогатель шифрует все файлы на компьютере и подключенных к нему внешних накопителях, а на экране появляется уведомление с требованием выкупа и электронным адресом. Не шифруются файлы с расширениями .dll, .lnk, .sys, .locked, файлы в директориях Microsoft\Windows\burn, файлы dat и log, файлы, начинающиеся с ntsuser или usrclass, а также файл readme-now.txt.
Ранее АКБ сообщало, что специалисты по кибербезопасности из американской компании Alert Logic обнаружили баг в LockerGoga, который в теории позволит создать временную «вакцину» против грозного зловреда .
АКБ также напоминает, что ранее в марте один из крупнейших мировых производителей алюминия, компания Norsk Hydro, подверглась хакерской атаке LockerGoga , которая повлекла за собой сбой в работе производственных объектов. Из-за кибератаки часть рабочих процессов на производстве переведены в ручной режим, некоторые другие процессы – приостановлены. Кибератака продемонстрировала обратную сторону единой цифровой инфраструктуры: она затронула работу компании в разных странах, в том числе в Норвегии, Катаре и Бразилии. Часть рабочих процессов на производстве были переведены в ручной режим, некоторые другие процессы – приостановлены.
До атаки на Norsk Hydro жертвами LockerGoga стали две американские химические компании Hexion и Momentive. При этом реакция американцев на шифровальщик была довольно странной, сообщается, что сперва Momentive «обратились за помощью к вооруженным спецподразделениям SWAT» (?!), а затем просто выбросили всю технику и «заказали сотни новых компьютеров» (видимо грозные окрики спецназа на вирус не повлияли).
Про Ryuk АКБ также рассказывало. Северокорейские хакеры Lazarus написали (добыли?) себе этого шифровальщика Ryuk в прошлом году. Технически он представляет собой то же самое, что Hermes, которым грабили банки Тайваня, но с дополнительной фишкой. У Ryuk есть список из 40 служебных процессов и 180 приложений, которые шифровальщик вырубает перед началом работы, например антивирусные службы и системы резервного копирования.
