В последнее время одна из самых интересных и трудолюбивых хакерских группировок, Lazarus из спецслужб КНДР, заметно активизировалась. Точнее, она была активна и до этого, но в основном на периферии мировых трендов, в Латинской Америке и в Азии. Теперь же действия хакеров заметны и в России, и в первом мире.
С весны этого года Lazarus активно использует созданное ею вымогательское ПО VHD для атак на предприятия. Как сообщают специалисты «Лаборатории Касперского», образцы VHD были впервые обнаружены в марте-мае 2020 года в ходе расследования двух инцидентов безопасности.
В первом случае вымогатель был внедрен в корпоративные сети с помощью распространяемого по протоколу SMB инструмента для брутфорс-атак, а во втором – с помощью вредоносного фреймворка MATA, также известного как Dacls.
VHD распространяется по подключенным к атакуемому компьютеру жестким дискам, шифрует файлы и удаляет все папки System Volume Information, тем самым лишая жертву возможности восстановить Windows. Дополнительно к этому VHD может «замораживать» процессы, потенциально способные защитить важные файлы от модифицирования (например, Microsoft Exchange или SQL Server). В целом функционал VHD весьма стандартен, необычно только то, что такое оружие использует Lazarus.
Атака начинается с эксплуатации уязвимостей в VPN-шлюзах. Проникнув в атакуемую сеть, злоумышленники повышают свои привилегии на скомпрометированном устройстве и устанавливают бэкдор, являющийся частью вредоносного фреймворка MATA, он предоставляет атакующим контроль над сервером Active Directory, что позволяет им доставлять полезную нагрузку VHD на все системы внутри сети с помощью Python-загрузчика.
Напоминаем, что мировую известность группировка Lazarus впервые приобрела благодаря атаке на Sony Pictures Entertainment, DDoS-атакам и кибер-грабежу размером $81 млн из Бангладешского банка. В марте 2017 года представители ФБР и АНБ впервые подтвердили, что за атакой̆ на бангладешский Центробанк может стоять официальный Пхеньян.
Lazarus во многом являются, собственно, отцами современных вирусов-вымогателей. Даже если не вспоминать феномен WannaCry, который связывают с северокорейцами, относительно недавно был и другой шифровальщик, Ryuk (который в рамках текущей повестки, правда, теперь принято приписывать русским).
Мы много писали о Ryuk ранее, у зловреда есть список из 40 служебных процессов и 180 приложений, которые шифровальщик вырубает перед началом работы, например антивирусные службы и системы резервного копирования. В конце 2018 года из-за атак с использованием Ryuk возникли серьезные проблем с печатью и доставкой нескольких крупнейших газет США.
Читайте также на АКБ: