Кибершпионы использовали вымогательское ПО для сокрытия своих действий
Кибершпионы использовали вымогательское ПО для сокрытия своих действий
Кибершпионы использовали вымогательское ПО для сокрытия своих действий
02.11.2017
Киберпреступники использовали вымогательское ПО ONI для сокрытия сложной таргетированной кампании Night of the Devil ("Ночь дьявола") с использованием эксплоитов Агентства национальной безопасности США. В течение нескольких месяцев атаки оставались незамеченными, пока однажды злоумышленники не дернули за ниточки и не зашифровали одновременно данные на сотнях компьютеров. Их истинной целью было не получение выкупа, а уничтожение следов своего присутствия.
Кампания была направлена против нескольких организаций в Японии. Проводившие расследование атак эксперты из Cybereason пришли к выводу, что с помощью вымогателя атакующие пытались уничтожить все следы операции и данные об атаках.
Вредонос получил свое название по расширению oni, добавляемому им к зашифрованным файлам и указанному в требовании выкупа электронному адресу. Как выяснили эксперты, большая часть кода вредоноса была позаимствована у вымогательского ПО GlobeImposter.
ONI уже неоднократно использовался в атаках на японские организации, однако в последней кампании исследователи обнаружили новый вариант – MBR-ONI, оснащенный функционалом буткита. Вымогатель работает на базе легитимного инструмента для шифрования диска DiskCryptor. И ONI, и MBR-ONI попадают на компьютеры жертв через целенаправленные фишинговые письма. Содержащийся в письмах вредоносный документ Office загружает на систему инструмент для удаленного доступа Ammyy Admin.
Попав на атакуемую систему, злоумышленники создавали карту внутренних сетей и собирали учетные данные. Продвигаться по сети им помогал эксплоит АНБ EternalBlue. Скомпрометировав критические активы, в том числе контроллер домена, хакеры получали полный контроль над сетью и могли похищать любую интересующую их информацию.
По завершении операции киберпреступники запускали ONI и MBR-ONI для сокрытия своих следов. ONI отображает на зараженном компьютере записку с требованием выкупа и позволяет расшифровать файлы. Тем не менее, в отличие от него MBR-ONI не предполагает предоставление ключа для дешифровки. Его главное предназначение – уничтожение каких-либо свидетельств шпионской кампании.
Использование вымогательского ПО для сокрытия кибершпионских кампаний – весьма редкая практика. Тем не менее, атаки на японские организации служат примером появления новых тенденций.
Буткит – вредоносное ПО (так называемый MBR-руткит), модифицирующее загрузочный сектор MBR – первого физического сектора на жестком диске.
Copyright © 2018-2022, ООО "ГРОТЕК"