Quantum Locker, штамм, впервые обнаруженный в августе 2021 года, злоумышленники использовали в проведении быстрых атак для шифрования данных.
Злоумышленники используют вредоносное ПО IcedID в качестве одного из своих первоначальных векторов атаки, которое развертывает Cobalt Strike для удаленного доступа и приводит к краже данных и шифрованию с помощью Quantum Locker.
Технические детали атаки квантовых программ-вымогателей были проанализированы исследователями безопасности из The DFIR Report. По словам специалистов атака, которая длилась всего 3 часа и 44 минуты от первоначального заражения до завершения шифрования устройств, не позволяет администратору принять защитные решения для обеспечение сохранности данных.
Использование IcedID в качестве начального доступа
В атаке, описанной в отчете DFIR, использовалось вредоносное ПО IcedID в качестве первоначального доступа к машине цели, которая, по мнению исследователей, поступила через фишинговое электронное письмо, содержащее во вложении файл ISO.
IcedID — это модульный банковский троян, используемый в течение последних пяти лет, в основном для развертывания полезной нагрузки второго этапа, загрузчиков и программ-вымогателей.
Сочетание архивов IcedID и ISO в последнее время использовалось в других атаках, так как эти файлы отлично подходят для прохождения через элементы управления безопасностью электронной почты.
Через два часа после первоначального заражения злоумышленники вводят Cobalt Strike (удаленный доступ, выполнение shell-команд, доступ к файлам) в процесс C:\Windows\SysWOW64\cmd.exe чтобы избежать обнаружения.
На начальном этапе злоумышленникам удалось украсть учетные данные домена Windows. Далее, сбросив память LSASS, продолжили распространение по сети.
«В течение следующего часа злоумышленник продолжал устанавливать RDP-соединения с другими серверами в среде», — подробно описывает DFIR в отчете.
«Как только злоумышленник получил контроль над макетом домена, он подготовился к развертыванию программы-вымогателя, скопировав вымогатель (с именем ttsel.exe) на каждый хост через общую папку C$».
В конце концов, злоумышленники использовали WMI и PsExec для развертывания полезной нагрузки Quantum Locker и шифрования устройств.
Весь процесс от внедрения до шифрования занял всего четыре часа, что довольно быстро, и, поскольку эти атаки обычно происходят поздно ночью или в выходные дни, они не предоставляют администраторам времени обнаружить вторжение и правильно выстроить защиту устройств.
DFIR в своем отчете предоставил обширный список индикаторов компрометации, а также адреса C2, к которым IcedID и Cobalt Strike подключены для связи.
Что такое Quantum Locker?
Программа-вымогатель Quantum Locker является ребрендингом вымогательского ПО MountLocker, которая стартовала в сентябре 2020 года.
С тех пор банда злоумышленников, модифицируя вредоносные скрипты, каждый раз присваивала им новые имена: AstroLocker, XingLocker. Теперь, многократно эволюционировав, зловред скоростного шифрование носит гордое имя Quantum Locker.
Ребрендинг и моддинг в Quantum произошел в августе 2021 года, когда шифровальщик-вымогатель начал добавлять расширение файла .quantum к зашифрованным именам файлов и заметки о выкупе с именем README_TO_DECRYPT.html.
Эти заметки включают ссылку на сайт TOR для ведения переговоров о выкупе и уникальный идентификатор, присваиваемый жертве. В заметках о выкупе также говорится, "что во время атаки были украдены данные, которые злоумышленники угрожают опубликовать, если выкуп не будет выплачен".
Тем временем в отчете DFIR говорится, что исследователи не видели активности эксфильтрации данных в атаке, которую они анализировали, Однако спецы-безопасники утверждают, что хакеры крадут данные во время атак и сливают их в схемах двойного вымогательства.
Требования выкупа этой банды варьируются в зависимости от жертвы, причем за отдельные атаки требуют "каких-то вшивых" 150 000 долларов, И в то же время за отдельный дешифратор плата может доходить до нескольких миллионов долларов США, например, как показано на скриншоте ниже, где злоумышленники доводят сумму выкупа до $3,8млн.
К счастью для администраторов устройств, Quantum Locker не очень активен и распространен, как его предыдущие воплощения, когда злоумышленники совершали по несколько атак в месяц.
Атаки с этим вымогательским ПО также не идут ни в какое сравнение с ransomware таких "мастодонтов" как Conti, LockBit и AVOS. Однако при организации защиты устройств, администраторам необходимо учитывать все риски и знать о TTP, связанных с атаками Quantum Locker.