В первой части нашего цикла мы расскажем о самых известных киберпреступных организациях, чьи имена стали синонимами цифровых угроз и инновационных методов взлома.
1. BianLian
BianLian — хакерская группировка, использующая одноименную программу-вымогатель. Эта группа характеризуется быстрым развитием своей тактики и применением различных методов атак.
BianLian проявляет особый интерес к организациям и компаниям, которые обладают конфиденциальными данными и финансовыми возможностями для выполнения требований о выкупе.
Основными целями группировки являются организации и компании в таких секторах как: финансы, промышленность, здравоохранение, образование, юридические услуги, СМИ.
Операции группы имеют глобальный охват, но чаще атакуются объекты в Северной Америке, Азии и Европе. Примечательно, что 60% целей BianLian находится в США, 10% — в Великобритании, 7% — в Канаде.
Атаки проводятся в несколько этапов. Первоначальный доступ к системе BianLian осуществляет путем использования скомпрометированных учетных данных, полученных от брокеров начального доступа или посредством целенаправленной рассылки электронных писем, содержащих вредоносные вложения или ссылки на фишинговые веб-сайты.
Подробнее о фишинге и способах защиты от него Вы можете узнать из серии карточек в нашем Telegram-канале, а также найти актуальные новости из мира кибербеза, аналитические материалы и тематические переводы.
Затем группа устанавливает ПО для удаленного доступа и обеспечения устойчивости управления системой (TeamViewer, Atera Agent, SplashTop, AnyDesk), создает и активирует учетные записи локальных администраторов и меняет их пароли.
С целью предотвращения обнаружения производится отключение антивирусных инструментов, в частности Windows Defender и Antimalware Scan Interface, для чего используется PowerShell и командная строка Windows.
После получения доступа к данным они шифруются, затем злоумышленники требуют выкуп в обмен на восстановление информации.
В качестве мер защиты рекомендуется производить регулярное резервное копирование в автономном режиме, своевременно обновлять ПО, использовать антивирусный софт, не переходить по подозрительным ссылкам.
2. BlackCat (ALPHV)
BlackCat, также известная как ALPHV, позиционирует себя в качестве одной из наиболее успешных группировок-вымогателей (в первом квартале 2023 года ими реализована 81 атака).
Информация о BlackCat впервые появилась в ноябре 2021 года. Предполагается, что в группировку вошли Хакеры из BlackMatter и REvil. BlackCat действует по модели вымогательство как услуга (Ransomware-as-a-Service, RaaS), предполагающая предоставление вымогательского ПО третьими лицами за проценты от полученной ими прибыли. Для создания вредоносного ПО используется язык Rust, что позволяет создавать кросс-платформенные инструменты для атак на системы под управлением Windows и Linux. Для эксфильтрации данных из зараженной системы применяется модифицированная утилита Fendr (ранее использовалась хакерами BlackMatter под наименованием ExMatter), способная идентифицировать и захватывать файлы более разнообразного спектра расширений.
BlackCat в основном фокусируется на секторе бизнес-услуг и обрабатывающей промышленности. Что касается географии, 64% атак BlackCat приходится на США, по 7% – на Канаду и Сингапур. Особенностью деятельности BlackCat являются атаки на POS-системы (оборудования для автоматизации торговых операций), что приводит к краже кредитных карт, фальсификации транзакций, сбоям в обслуживании, нанесению ущерба бренду и другим серьезным организационным повреждениям. Так, 12 апреля NCR (американская компания, предоставляющая различные решения для бизнеса, в том числе POS-системы для ресторанов и розничных торговцев) подверглась атаке группировки. Это нанесло ущерб не только самой NCR, но и ее клиентам.
Летом прошлого года хакеры BlackCat взяли на себя ответственность за взлом платформы Reddit, потребовав выкуп в размере 4,5 млн. долларов, а в сентябре 2023 года ими была нарушена работа нескольких казино и отелей MGM Resorts в Лас-Вегасе, за что группировка получила выкуп в размере 15 млн. долларов.
В декабре 2023 года Министерство юстиции США заявило об успешной операции ФБР по прекращению работы сайта BlackCat. Бюро также выпустило инструмент, позволившее более 500 пострадавшим восстановить доступ к заблокированным файлам, сэкономив на невыплаченном выкупе примерно 68 млн. долларов. Однако хакеры вернули себе доступ к ресурсу, а данные ещё тысяч жертв остаются зашифрованными.
Вымогательское ПО, используемое BlackCat в первую очередь поражает давно не обновлявшиеся системы. В этой связи необходимо периодически обновлять используемый софт, а также регулярно выполнять резервное копирование файлов, сохраняя их на разных носителях или в облаке. Кроме того, рекомендуется создавать надежные пароли для разных учетных записей и не переходить по подозрительным ссылкам.
3. LockBit3.0
Группировка LockBit существует с 2019 года и работает по RaaS-модели. По данным GuidePoint Security (американская компания, специализирующаяся на предоставлении услуг по информационной безопасности), в 2022 году эта группировка была самой многочисленной, а от ее деятельности пострадало 4 из 10 жертв программ-вымогателей.
Версия вымогательского ПО LockBit 3.0 была выпущена в июне 2022 года, а к концу года ее использование было зафиксировано в 41 стране. В феврале 2023 года специалисты из лаборатории Касперского выявили новую модификацию этого вредоноса — LockBit Green. ПО способно шифровать данные пользователей всех операционных систем, включая Windows, MAC и Linux.
Важная характеристика зловредного ПО – его способность автоматически распространяться внутри организации, используя для этого такие инструменты как Windows Powershell и Server Message Block. Кроме того, программа осуществляет действия по предотвращению обнаружения, восстановление данных и затруднения анализа инцидента. Для оптимизации своей деятельности, LockBit разработала собственный метод эксфильтрации данных, получивший название StealBit, который значительно быстрее, чем при использовании утилиты Rclone.
При проведении атак преступники применяют двухэтапную тактику: сначала получают несанкционированный доступ к системам и сетям компании, а затем выполняют шифрование данных и требуют выкуп в обмен на их дешифровку.
Для первоначального доступа злоумышленники используют клиент удаленного рабочего стола Microsoft а также известные уязвимости сетевых устройств, такие как VPN-шлюзы. В частности, Австралийский центр кибербезопасности зафиксировал, что LockBit эксплуатирует уязвимость в продуктах Fortinet FortiOS и FortiProxy, CVE-2018-13379, которая позволяет неавторизованному субъекту загружать системные файлы через специально созданные HTTP-запросы, получать доступ к учетным данным и к целевой сети.
Сведения о проведенных атаках публикуется на сайте утечки информации, размещенном в Tor.
С целью демонстрации своей надежности группировка запустила программу вознаграждения за обнаружение уязвимостей в своем ПО, сайтах утечки, Tor-сети или службе обмена сообщениями и, якобы, уже заплатила за это 50 000 долларов пен-тестерам.
Для предотвращения атак рекомендуется: использовать надежные пароли и многофакторную аутентификацию; ограничить права пользователей; удалять неиспользуемые учетные записи; оптимизировать конфигурацию системы; своевременно создавать резервные копии всей системы; применять комплексные решения для кибербезопасности.
4. Clop
Clop Ransomware, также известная как Cl0p, — это группировка программ-вымогателей, появившаяся в феврале 2019 года. Основными целями Clop являются организации и компании в таких секторах как бизнес-услуги, программное обеспечение, розничная торговля, промышленность и транспорт. Clop считается преемницей группировки вымогателей CryptoMix
Что касается географии, 54% атак Clop приходится на США, по 19% – на Канаду, 11% – на азиатский регион. Активность группировки в последнее время значительно возросла.
Для проникновения в систему потенциальной жертвы Clop использует массовые фишинговые кампании. Электронные письма содержат HTML-вложения, которые перенаправляют получателей на документ с поддержкой макросов, используемый для установки загрузчика с именем Get2. Примечательно, что группировка рассылает фишинговые письма в течение рабочей недели, а непосредственно сетевое вторжение и развертывание программ-вымогателей проводятся преимущественно в выходные дни с целью свести к минимуму вероятность обнаружения и повысить результативность шифрования данных. Зашифрованные файлы, имеют расширения, которые обычно представляет собой вариацию имени CL0P, например .cllp, .clop или .cl0p.
С 2023 года Clop использует более сложную тактику, которая более эффективна и позволяет требовать больший выкуп. В частности, Clop стала активно использовать уязвимость нулевого дня в программном обеспечении для обмена большими файлами MOVEit Transfer.
В 2023 году злоумышленники взяли на себя ответственность за взлом таких компаний и организаций как: Estee Lauder companies, First National Bankers Bank, Putnam Investments, Tesla (США); BBC, British Airways, Shell и Ernst & Young (Великобритания); Landal Greenparks (Нидерланды); Департамент образования Нью-Йорка и Университет штата Мичиган. При этом только за две недели марта 2023 года было зафиксировано 98 успешных атак.
Сообщение о выкупе обычно содержит конкретные сведения о жертве и украденных данных, а также предупреждение о том, что несоблюдение требований группы приведет к публикации данных на сайте утечки в Tor. В отличие от других группировках, указывающих точную сумму выкупа и адрес криптовалюты для оплаты, CL0P предоставляет несколько контактных адресов электронной почты, а с недавних пор и ссылку на функцию онлайн-чата в своей службе в Tor, которую можно использовать для ведения переговоров. Адреса электронной почты, указанные в сообщениях о выкупе, размещаются у провайдеров электронной почты, ориентированных на конфиденциальность, таких как ProtonMail или Tutanota, что обеспечивает некоторый уровень анонимности для злоумышленников.
Правительство США назначило награду в размере 10 млн. долларов за информацию о главарях группировки.
Для предотвращения атак рекомендуется применять стандартный набор мер защиты организационного и технического характера.
5. Play
Хакерская группировка Play, также известна под названием PlayCrypt впервые появилась в середине 2022 года. Для атак используется одноименное зловредное ПО. Целями Play являются компании и организации расположенные в странах Европы, Северной и Южной Америки.
С момента появления и по октябрь 2023 года группировка осуществила успешные атаки на IT-инфраструктуру свыше 300 различных организаций, некоторые из которых являлись объектами критической инфраструктуры. Чаще всего жертвой Play становилась компании ИТ-индустрии. Так, в результате атаки на швейцарскую ИТ-компанию Xplain пострадали различные федеральные и кантональные правительственных учреждений среди которых Министерство обороны, Федеральное управление полиции, Федеральное управление таможенной и пограничной безопасности, полиция кантона Берн.
Play применяет стратегию двойного вымогательства, который предполагает шифрование данных инфраструктуры или критически важных устройств и последующую угрозу публикации украденной информации в Интернет.
Для проникновения в систему Play использует действительные учетные записей, включая учетные записи VPN, а также уязвимости в ПО, например уязвимости FortiOS CVE-2018-13379 и CVE-2020-12812 , а также уязвимости ProxyNotShell CVE-2022-41040.
Для кражи информации, а также для сканирования и отключения антивирусного ПО злоумышленники используют различные инструменты. В частности для копирования данных ими задействуется служба VSS, которая позволяет похищать файлы из теневых копий томов.
Об анатомии таргетированной атаки мы уже рассказывали в нашей статье в VK. Также в сообществе Вы найдете больше аналитических материалов — подписывайтесь.
После разделения скомпрометированных данных на меньшие части и их переноса в управляемые хакерами аккаунты, файлы получают расширение .play.
Информацию о своих атаках и жертвах Play публикует на своем официальном сайте утечки данных, а общение с жертвами происходит исключительно по электронной почте.
Для противодействия злоумышленникам организациям рекомендуется первоочередное внимание уделять устранению известных уязвимостей, которые используются группировкой для получения первоначального доступа к целевым системам.
Больше полезной информации об ИТ и ИБ — в наших соцсетях:
Telegram
ВКонтакте
Одноклассники
vc.ru