Akira: вымогатели создают VM для обхода защит

В недавнем инциденте, связанном с ransomware Akira, злоумышленник использовал саму инфраструктуру жертвы, получив доступ к hypervisor и создав новую virtual machine (VM). Эта VM стала промежуточной площадкой для запуска ransomware, что наглядно показывает, как атакующие применяют virtualization для обхода средств защиты и усложнения расследования.

Как развивалась атака

Согласно криминалистическому анализу, на вновь созданной VM не было установлено никаких существующих средств защиты, включая agent Huntress. Это заметно упростило действия злоумышленника и позволило ему работать без существенных ограничений.

Далее атакующий начал разведку внутри скомпрометированной среды. Он перечислил пользователей и компьютеры Active Directory, а затем использовал Notepad для просмотра конкретных выходных файлов, включая AdUsers.txt и AdComp.txt.

Подготовка к exfiltration

После разведки злоумышленник перешёл к файловому server организации. Для архивирования содержимого папок он применял широко доступные инструменты, в том числе WinRAR. Затем был использован WinSCP — open source file manager, который, по данным анализа, мог применяться для exfiltration архивированных данных.

Особенно важным оказалось то, что вскоре после входа в VM злоумышленник отключил Microsoft Defender. Это позволило ему запускать вредоносные программы без помех и снизило вероятность своевременного обнаружения.

Запуск Akira и эксфильтрация данных

Перед дальнейшими действиями атакующий переименовал cross-platform версию исполняемого файла шифровальщика Akira в «akira.exe», после чего начал искать в интернете способ передачи подготовленных данных.

Анализ показал, что для эксфильтрации был использован сервис Easyupload.io — file sharing service, связанный с historical application LimeWire. Этот эпизод вписывается в более широкую тенденцию, при которой злоумышленники используют внешне безобидные сервисы в malicious целях. Аналогичный подход наблюдается и при эксплуатации platforms cloud storage, а также backup utilities.

Почему этот инцидент важен

Переход на новую virtual machine дал злоумышленнику дополнительные возможности, но одновременно оставил чёткий след его действий. Отсутствие модификаций в VM позволило провести прозрачный audit событий, предшествовавших развертыванию ransomware.

При этом отсутствие других техник обхода защиты дополнительно указывает на уверенность атакующего в контроле над compromised environment.

«Этот инцидент демонстрирует эволюцию тактик, используемых affiliates программ-вымогателей, а также сохраняющиеся риски, связанные с virtualized environments при отсутствии надлежащих мер безопасности».

Таким образом, кейс Akira подтверждает: даже изолированная на первый взгляд виртуальная среда может стать удобной точкой запуска атаки, если в инфраструктуре отсутствуют достаточные меры защиты, контроль за hypervisor и непрерывный monitoring.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Akira: вымогатели создают VM для обхода защит".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.