Новини Архіви - Сторінка 6 з 10

Sharkbot знову на плаву

Нещодавно дослідники з команди Check Point Research (CPR) попередили користувачів про все ще наявну небезпеку шкідливого програмного забезпечення Sharkbot, знайденого цього року в Google Play. Хоча про знахідку було негайно повідомлено Google і шкідливе ПЗ було видалено, команда каже, що знайшли нові шкідливі програми Sharkbot.

Що таке шкідливе програмне забезпечення Sharkbot?

Sharkbot — це програма-стілер в Android, яка видає себе за антивірусне ПЗ в Google Play. Це зловмисне програмне забезпечення краде банківську інформацію та облікові дані, одночасно впроваджуючи геозони та інші методи ухилення, що в якомусь аспекті на фоні інших виділяє його. Також цікавий аспект, на який вказують фахівці з кібербезпеки — алгоритм генерації домену (DGA) — рідко використовується серед шкідливих програм Android.

На пристрої жертви зловмисне програмне забезпечення створює вікна, які імітують справжні форми введення облікових даних, заманюючи жертв ввести свої облікові дані.

Потім зламані дані надсилаються на шкідливий сервер. Sharkbot використовує свою функцію геозонування для націлювання лише на конкретних жертв, за винятком користувачів з України, Білорусі, Румунії, Росії, Індії та Китаю. Крім того, він не працюватиме, якщо виконується в пісочниці.

Sharkbot знову на плаву — Програми, які було виявлено шкідливими

У магазині Google Play команда CheckPoint Research (CPR) загалом виявила шість різних програм, які поширювали шкідливе програмне забезпечення. Згідно з інформацією, отриманою з www.appbrain.com, ці програми на момент виявлення вже були завантажені та встановлені приблизно 15 тисяч разів.

Трьох облікових записів розробників звинувачують у поширенні зловмисного програмного забезпечення: Bingo Like Inc, Adelmio Pagnotto та Zbynek Adamcik. Під час ретельної перевірки спеціалістів з кібербезпеки стало відомо, що два із згаданих акаунтів були активні вже восени 2021 року.

Деякі з програм, які, ймовірно, належали цим обліковим записам, було видалено з Google Play, але вони все ще існують на неофіційних сайтах. Фахівці з кібербезпеки пояснюють, що це може означати, що розробники Sharkbot намагаються залишатися якомога непоміченими, продовжуючи здійснювати шкідливу діяльність.

Технічний аналіз Sharkbot

Команди

Говорячи про основну функціональність шкідливого програмного забезпечення, Sharkbot працює з традиційними інструментами як для шкідливого ПЗ на Android. Фахівці з кібербезпеки знайшли 27 версій бота.

Загалом Sharkbot може реалізувати 22 команди. За допомогою сервера командування та керування (CnC) на зламаному пристрої хакери можуть виконувати різні типи шкідливих дій.
Можуть виконуватися такі команди:

removeApp

Насправді це не команда, а поле команди updateConfig. Під час виконання цієї команди сервер створює великий список програм, які слід видалити з пристрою жертви. Наразі список містить 680 назв додатків.

autoReply

Те саме, це не фактична команда, а поле в команді updateConfig. Під час цієї команди сервер надсилає повідомлення, що імітує відповідь на події push.

Swipe

Ця команда імітує рух користувача по екрану пристрою. Фахівці з кібербезпеки припускають, що це було зроблено, щоб дати можливість хакерам відкрити якусь програму або пристрій.

APP_STOP_VIEW

Тут CnC створює назви пакетів, а потім служба доступності не дозволяє користувачам отримати доступ до названих програм.

sendPush

Команда показує користувачеві push-повідомлення з призначеним текстом.

iWantA11

Вмикає службу доступності для Sharkbot.

getDoze

Вимикає оптимізацію акумулятора для пакета Sharkbot.

змінитиSmsAdmin

Збирає назви старих і використовуваних на даний момент програм SMS за замовчуванням для шкідливого ЧПУ.

збір контактів

Збирає та надсилає вкрадені контакти на шкідливі сервери.

видалити додаток

Ця команда видаляє названу програму в пакеті.

smsSend

Дія перевіряє, чи надано дозвіл на надсилання SMS. Якщо дозвіл надано, зловмисне програмне забезпечення може читати та надсилати SMS.

Є також деякі другорядні команди, що відповідають переважно за внутрішню роботу Sharkbot.

Мережа

Немає такої кількості шкідливих програм, які можуть працювати без зв’язку з сервером CnC. Шкідливе ПЗ як Sharkbot – це ті, кому потрібен зв’язок із CnC-сервером. І ось тут випливає один цікавий факт про цю шкідливу програму.

Коли в суб’єктів загрози заблокували всі свої сервери, вони можуть використовувати алгоритм генерації домену, який майже ніколи не використовується в шкідливих програмах Android, але Sharkbot є винятком.

DGA — це алгоритм, при якому зловмисний клієнт і зловмисник змінюють сервер CnC без будь-якого зв’язку. За допомогою цього алгоритму важче заблокувати сервери оператора шкідливого ПЗ.

DGA складатиметься з двох частин: фактичного алгоритму та констант, які використовує цей алгоритм. Константи називаються сідсами DGA.

Протокол і нок-пакет

Обмін на сервері CnC відбувається через HTTP із запитом POST на шляху /. І запити, і відповіді шифруються за допомогою RC4.

Час від часу в чітко встановлений проміжок бот надсилатиме нок-пакет на сервер. За замовчуванням пакет надсилатиметься кожні 30 секунд. Період часу можна змінити за допомогою команди updateTimeKnock.

Інфраструктура

Під час публікації звіту команда Check Point Research (CPR) виявила 8 IP-адрес, які в різний час використовували оператори Sharkbot.

Дослідники припускають, що насправді є один реальний сервер, а інші — просто реле. Пік активності шкідливого ПЗ зрісло у березні; Фахівці з кібербезпеки пов’язали цей факт з тодішнім активним використанням дроппера Sharkbot в Google Play.

Згідно зі статистикою на основі розташування, основні цілі були у Сполученому Королівстві та Італії.

Дропери

Спочатку зловмисне програмне забезпечення завантажується та встановлюється під виглядом антивірусної програми. Потрапивши на машину жертви, Sharkbot виявляє емулятори, і якщо такий знайдений, він припиняє роботу.

У разі виявлення емулятора зв’язок з ЧПУ не відбудеться. Але зловмисне програмне забезпечення взагалі не працюватиме, якщо місцевістю є Україна, Білорусь, Росія, Румунія, Індія та Китай.

Та частина програми, яка контролюється сервером CnC, розуміє 3 команди:

Завантаження та встановлення файлу APK із наданої URL-адреси;

Зберігання поля автовідповіді в локальному сеансі;

Перезапуск локальної сесії.

Усі вони запитуватимуть однаковий набір дозволів.

Згодом вони зареєструють службу, щоб отримати доступ до Подій доступності.

Висновки

У швидкому темпі сучасного життя іноді можна пропустити червоний прапорець — ознака шкідливого програмного забезпечення в магазині додатків. На останок дослідницька група CheckPoint дала короткі поради щодо того, як уникнути шкідливих програм, особливо таких, як ця, маскована під антивірусне ПЗ:

Негайно повідомляйте про всі підозрілі програми, які ви зустрічаєте в магазині;

Уникайте завантаження програми від нового видавця, натомість спробуйте знайти аналогічний у надійного видавця;

Встановлюйте програми лише від перевірених і відомих видавців.

Незважаючи на те, що Google негайно видалив шкідливі програми, вони вже були завантажені 15 000 тисяч разів. Шкода завдана. Цей факт ще раз показує, що при прийнятті рішення про те, чи завантажувати програму чи ні, потрібно також покладатися на свою поінформованість.

Багатофункціональний троян Борат

Фахівці з кібербезпеки попереджають користувачів про нову загрозу — троян Borat. Нове шкідливе програмне забезпечення демонструє багатофункціональні можливості неймовірного спектру.

Під час регулярних досліджень OSINT спеціалісти з Cyble Research Labs натрапили на дуже незвичайний троян віддаленого доступу (RAT) на ім’я Borat.

Цікава річ у цьому зловмисному програмному забезпеченні полягає в тому, що воно надає не тільки традиційні функції RAT, але й додатково розширює можливості шкідливого програмного забезпечення, включаючи послуги DDOS, програми-вимагачі.

Свою назву зловмисне програмне забезпечення отримало на честь чорного комедійного псевдодокументального фільму «Борат». Хакери також помістили на «обкладинку» фотографію Саші Барона Коена, який зіграв роль Бората в однойменному фільмі.

Технічні деталі трояна Borat

Зловмисники використовують RAT або троян віддаленого доступу, щоб отримати віддалений контроль і повний доступ до системи користувача, зокрема керування мишею та клавіатурою, доступ до ресурсів мережі та доступ до файлів.

Троян Borat — це пакет сертифікатів сервера, допоміжних модулів і двійкових файлів конструктора тощо. Зловмисне програмне забезпечення має панель інструментів, щоб допомогти виконувати дії RAT, а також надає можливість компіляції бінарного програмного забезпечення для виконання атак DDoS і програм-вимагачів на комп’ютері жертви.

Отже, що може зробити троян?

Віддалене керування

Щоб налякати і відволікти жертву, RAT виконає: порожній екран, вимкнення монітора, зависання системи, увімкнення/вимкнення підсвічування веб-камери, утримування миші, показ/схов панелі завдань, відображення/приховування робочого столу, зміна кнопок миші, відтворення звуку.

Крадіжка токена Discord

RAT краде токени Discord і надсилає інформацію про вкрадений маркер назад суб’єктам загрози.

Крадіжка облікових даних браузера

Borat краде збережені облікові дані для входу, закладки, історію та файли cookie з браузерів на основі Chromium, таких як Edge, Google Chrome тощо.

Процес вкраплення

За допомогою цього трояну хакери можуть використовувати процес вкраплення, що означає введення шкідливого коду в легітимні процеси.

Збір інформації про пристрій

Borat Rat також збирає різну інформацію про машину жертви, включаючи модель системи, версію ОС, назву ОС тощо.

Зворотний проксі

Borat Rat також дозволяє зловмисникам приховувати свою особу під час комунікування зі зламаними серверами. Це зловмисне програмне забезпечення має код, який дозволяє зворотному проксі-серверу виконувати дії RAT анонімно.

Віддалений робочий стіл

Шкідливе програмне забезпечення виконує віддаленне керування робочим столом комп’ютера жертви. Це дає суб’єктам загрози необхідні права керувати клавіатурою, мишею, машиною жертви та захоплювати екран. Контролюючи машину жертви, суб’єкти загроз можуть виконувати програму-вимагач на зламаній машині, видаляючи файли.

Веб-камера та аудіозапис

Borat Rat також може спробувати знайти веб-камеру або мікрофон, і якщо будь-який з пристроїв присутній, він почне секретний запис, зберігаючи все в призначеному місці.

DDOS

Шкідливе програмне забезпечення також може порушити нормальний трафік цільового сервера.

Програми-вимагачі

Цікавим фактом для фахівця з кібербезпеки є те, що це шкідливе програмне забезпечення має можливість шифрувати файли жертви і згодом вимагати викуп. Як звичайно для програм-вимагачів він також має можливість створити записку про викуп на машині жертви.

Кейлоггер

Модуль Borat «keylogger.exe» відстежує та зберігає натискання клавіш на машині жертви. Потім вони зберігаються у файлі під назвою «Sa8XOfH1BudXLog.txt» для подальшої ексфільтрації.

Що такого особливого в трояні Борат?

Свіжий штам шкідливого програмного забезпечення, крім типової розширеної функціональності троянів, має ряд модулів, які здатні запускати різні види шкідливих дій.

У порівнянні зі своїм одноіменним персонажем з фільму, це шкідливе програмне забезпечення не є «verrry nice» — однією з найпопулярніших фраз вигаданого Бората.

«Автори зловмисного програмного забезпечення все більше розробляють набори функцій і можливостей, які забезпечують гнучкість зловмисника», — пише Джон Бамбенек, головний шукач загроз у Netenrich, компанії, що займається цифровими операціями з безпеки, у електронному листі до Threatpost.

У тому ж електронному листі дослідник додає, що він не бачить такої великої загрози від цього шкідливого програмного забезпечення. Він пояснює, що зазвичай такими інструментами користуються менш досвідчені кіберзлочинці або ті, хто вдає з себе таких. У будь-якому випадку їм може бути важко досягти успіху в масштабному запуску програми-вимагача

Як зазначив один із спеціалістів із безпеки, це зловмисне програмне забезпечення могло бути створене лише для наживки на новачках у світі кіберзлочинців, які ще не знають, “що і до чого”.

Дослідницька група Cyble продовжуватиме спостерігати за діями RAT і інформуватиме спільноту про розвиток ситуації.

Borat Rat являє собою унікальну і потужну комбінацію троянів віддаленого доступу, програм-шпигунів і програм-вимагачів, завдяки чому він потроює загрозу зламаній машині.

Його можливості записувати аудіо та керувати веб-камерою, і в той час красти інформацію вимагає уважного спостереження за ним. Додавання сюди можливостей DDOS і програм-вимагачів вимагає ще більше уваги.

Як зазначив Джек Манніно, генеральний директор nVisium, програми-вимагачі та DDoS-атаки є постійною загрозою для організацій. Серйозність таких атак може бути посилена помилками безпеки та недоліками самого програмного забезпечення.

Оскільки ці атаки надзвичайно ефективні, і оскільки їх можна запустити з відносно низькою ціною DDoS, загрози програм-вимагачів залишаться постійним ризиком для організацій у всьому світі. І цей новий штам шкідливого програмного забезпечення просто додає до постійно зростаючої та розвиваючої екосистеми кіберзлочинців.

Уразливості Microsoft Azure дозволяють використовувати RCE в пристроях IoT

Оскільки світ IoT швидко зростає, експерти з кібербезпеки витрачають більше часу на дослідження цієї конкретної галузі технологій. Нещодавно дослідники з Sentinel Lab опублікували звіт про виявлені вразливості в Microsoft Azure для пристроїв IoT, які дозволяють віддалено виконувати код.

Які вразливості було виявлено?

Минулого року дослідники з Sentinel Lab виявили кілька вразливостей у Microsoft Azure Defender для пристроїв IoT. І деякі з них були оцінені як критичні, отримавши оцінку CVSS 10,0.

Вперше спеціалісти із безпеки з Sentinel Lab повідомили про вразливості в продукті Microsoft у червні 2021 року. Компанія негайно випустила виправлення для всіх виявлених уразливостей. Наразі немає доказів того, що ці вразливості використовувалися хакерами.

Уразливості Microsoft Azure дозволяють використовувати RCE в пристроях IoT — Механізм відновлення паролю в Microsoft Azure Defender for IoT

Згідно з опублікованим звітом, неавторизований зловмисник може віддалено експлуатувати пристрій, захищений Microsoft Azure Defender, для IoT, скориставшись перевагами вразливостей, виявлених у механізмі відновлення пароля Azure. Уразливості стосуються як хмарних, так і локальних клієнтів.

Виявлені вразливості отримали такі ідентифікації: CVE-2021-42311, CVE-2021-42313, CVE-2021-37222, CVE-2021-42312 і CVE-2021-42310. Фахівці з кібербезпеки закликають користувачів негайно вжити відповідних заходів.

У разі успішної атаки експлуатація може призвести до повної скомпрометації мережі.

Окрім інших заходів безпеки спеціалісти також радять користувачам продуктів, які постраждали, відкликати будь-які привілейовані облікові дані, розгорнуті на платформі, та перевірити журнали доступу на наявність будь-яких порушень.

Що таке Microsoft Azure Defender для Інтернету Речей?

Microsoft Defender для IoT — це рішення безпеки, яке можна використовувати як локально, так і в хмарі. Він здійснює безперервне виявлення активів IoT/OT, керує вразливими місцями та виявленням загроз, не вимагаючи змін у існуючому середовищі.

Ця пасивна безпека мережевого рівня складається з двох основних компонентів:

Microsoft Azure Defender For IoT Sensor – постійно виявляє та контролює пристрої в мережі;

Microsoft Azure Defender для керування Інтернетом речей – допомагає командам SOC аналізувати дані, зібрані з кількох пристроїв IoT, і керувати ними. На одній інформаційній панелі спеціалісти SOC також можуть контролювати, чи захищені мережі.

Користувачі можуть встановлювати обидва компоненти або на пристрій, або на віртуальну машину.

Поверхня атаки вразливостей в Microsoft Azure

Фахівці з кібербезпеки кажуть, що через те, що обидва компоненти мають майже однакову кодову базу, вони мають однакові вразливості.

Для експлуатації цих уразливостей потенційні загрози будуть використовувати веб-інтерфейс, який дозволить їм легко контролювати цільове середовище. Крім того, датчики додатково забезпечують поверхню атаки своєю службою DPI (горизонтом), яка аналізує мережевий трафік.

Взагалі, Defender for IoT — це продукт (раніше відомий як CyberX), придбаний Microsoft у 2020 році.

Для використання обох компонентів зловмисник використовуватиме механізм відновлення пароля Azure для першого кроку атаки.

Механізм відновлення пароля працює однаково як для датчиків так і керування. Маніпулюючи ними, хакер отримує новий пароль і таким чином отримує внутрішній доступ до облікового запису.

Щоб зрозуміти, як саме працює цей механізм, фахівці з кібербезпеки пояснюють, що механізм відновлення пароля складається з двох основних компонентів:

Веб-API Java (tomcat, внутрішній);

Веб-API Python (зовнішній).

І саме тут вони кажуть вводиться уразливість “час перевірки-часу використання” (TOCTOU), оскільки не застосовується механізм синхронізації.

Коротше кажучи, сценарій експлойта виконує атаку TOCTOU, щоб скинути та отримати пароль аутентифікації обхідного облікового запису.

Після отримання внутрішнього доступу до облікового запису суб’єкт загрози отримує більш широку поверхню атаки. Наступна вразливість, яку дослідники кібербезпеки виявили, — це звичайна вразливість ін’єкції команд у механізмі зміни пароля.

Решта вразливостей – це базові ін’єкції SQL, одна з них- вразливість у структурі обробки трафіку.

Якщо вас цікавить більш детальний опис уразливостей, ви також можете прочитати оригінальний звіт, який був підготовлений спеціалістами з Sentinel Lab.

Як захистити свої пристрої IoT?

Якщо ви використовуєте будь-який пристрій IoT, вам обов’язково потрібно знати основні правила гігієни кібербезпеки пристроїв IoT. Легко уявити, що з усіма видами пристроїв IoT сьогодні ця частина нашого будинку може становити не меншу загрозу, ніж компрометація комп’ютера чи телефону.

Найочевиднішим пристроєм у вашому домі, який слід захищати найбільше, є Wi-Fi роутер. Метафорично кажучи, це двері вашого розумного дому. Тому забезпечення його безпеки стає одним із перших пріоритетів.

Якщо говорити про способи забезпечення безпеки пристроїв IOT, вони будуть наступними:

Використання брандмауера нового покоління (NGFW)

Як правило, ваш маршрутизатор буде мати вбудований брандмауер, але часто цього недостатньо. Традиційні брандмауери не мають таких необхідних функцій безпеки, як віртуальна приватна мережа (VPN), керування QoS, перехоплення SSL/SSH, фільтрація вмісту, захист від шкідливих програм, система запобігання вторгненням (IPS).

Звичайно, брандмауер наступного покоління (NGFW) є досить дорогою річчю, але якщо ви можете дозволити собі придбати пристрій IoT, то хіба не зможете витратити додаткові гроші на їх безпеку? NGFW поєднує традиційний брандмауер з більш надійними функціями безпеки, щоб допомогти вам захистити вашу конфіденційність.

Увімкнення багатофакторної аутентифікації

Напевно, ви знаєте, що таке багатофакторна аутентифікація? Це спосіб додатково захистити свій пристрій, встановивши отримання другого підтвердження ідентифікації, наприклад, одноразовий PIN-код (OTP) або підтвердження у вигляді смс коду/ листа на електронну пошту, щоб підтвердити, що людина, яка намагається увійти, це дійсно ви.

Деякі пристрої Інтернету речей мають багатофакторну автентифікацію за замовчуванням, а інші — ні. Можливо, ваш пристрій IoT має багатофакторну автентифікацію за допомогою пов’язаного з ним мобільного додатка, але ви також можете використовувати сторонні служби, такі як Google Authenticator, щоб вбезпечити додаткову безпеку пристроїв IoT.

Оновлюйте свої пристрої

Деякі маршрутизатори Wi-Fi не оновлюються автоматично, тому часто перевіряйте, чи є якісь оновлення для вашого пристрою. У деяких випадках ці оновлення несуть в собі значні виправлення безпеки, тому візьміть за звичку регулярно перевіряти їх. Те саме правило стосується пристроїв IoT та їхніх програм. Не зволікайте з цим, робіть це негайно.

Вимкніть функції, які ви не використовуєте

Правило просте, якщо ви не користуєтеся, наприклад, голосовим керуванням на смарт-телевізорі, краще його відключити. Або якщо ви використовуєте лише домашнє з’єднання Wi-Fi, вимкніть віддалений доступ. Коли ви блокуєте ці невикористовувані функції, ви блокуєте багато точок входу, які потенційно можуть бути зламаними.

Створіть окрему мережу Wi-Fi для пристроїв IoT

У багатьох сучасних маршрутизаторах Wi-Fi користувач може налаштувати гостьову (або вторинну) мережу. Таким чином, створюючи її, ви захищаєте свою основну мережу від будь-яких загроз, які виникають від скомпрометованого пристрою IoT.

Останніми порадами щодо гігієни кібербезпеки буде використання надійного та унікального паролю, зміна назви за замовчуванням вашого маршрутизатора Wi-Fi. Подивіться, яке у вас шифрування. Це має бути WPA2. Тому що, якщо це протоколи WPA або WEP, то варто придбати новий маршрутизатор.

Прекурсори програм-вимагачів. Що це?

Нещодавно дослідники з компанії Lumu Technologies опублікували досить інформативну флеш-картку про програми-вимагачі. У 2021 році вони зібрали 21 820 764 індикаторів компромісу, які були пов’язані з одним із важливих етапів атаки програми-вимагача — прекурсор програми-вимагача.

Що таке прекурсор програм-вимагачів?

Фахівці з Lumu Technologies зазначають, що атаки програм-вимагачів не виникають нізвідки. Навпаки, вони часто ретельно й прискіпливо організовані. А попередник програм-вимагачів є важливою частиною всього ансамблю.

Хакери покладаються на ці види шкідливого програмного забезпечення, щоб зібрати необхідну інформацію в цільовій мережі та підготувати налаштування для крадіжки та шифрування даних. Тут криється можливість. Виявивши попередник програм-вимагачів, спеціалісти з кібербезпеки зможуть успішно зупинити повномасштабну атаку програм-вимагачів.

Повномасштабна атака програм-вимагачів є кінцевим результатом ланцюга, який починається з, здавалося б, не надто шкідливого зловмисного програмного забезпечення», — пишуть фахівці з Lumu Technologies у Flashcard.

Перервання будь-якого зв’язку зі зловмисними командно-контрольними серверами гарантує, що подальший етап атаки не буде виконано. За допомогою зловмисного програмного забезпечення-прекурсора хакери переміщуються по мережі і отримують доступ перед фактичним розгортанням зловмисного програмного забезпечення, яке краде та шифрує дані.

Прекурсори програм-вимагачів. Що це? — Візуалізований ланцюжок атаки програми-вимагача

Щоб спростити, ланцюжок атак програм-вимагачів складається з початкового доступу, це може бути фішинг, уразливість або зловмисне програмне забезпечення; потім з’являється попереднє шкідливе програмне забезпечення, як Dridex, Emotet і TrickBot. І останній етап — це фактичний вимагач, який краде та шифрує дані.

Чому це не варіант просто заплатити викуп?

Після шифрування файлів програма вимагає сплатити викупу за ключ дешифрування. Злочинці пишуть свої записки про викуп таким чином, щоб переконати жертву, що єдиний найдешевший і найпростіший спосіб – сплатити цей викуп.

Але часто фахівці з кібербезпеки попереджають, що тут немає нічого дешевого і легкого. Навпаки, більше негативних наслідків від сплати вимаганого викупу.

Найочевиднішою причиною побоювань з міркувань кібербезпеки може бути те, що у вас немає реальних гарантій того, що ви отримаєте свої файли назад. Хоча деякі групи загроз люб’язно обіцяють повернення даних.

Крім того, ви також не маєте гарантій, що у вашій системі не зостався залишок програми-вимагача. Уявіть, що ви щойно заплатили викуп, і ось вона знову повернулася. Ваші файли зашифровані.

І по-третє, у деяких країнах існують правові наслідки сплати викупу. Крім перерахованого вище, ви можете отримати проблеми із законом.

Статистика спеціалістів з Lumu щодо прекурсорів програм-вимагачів

Фахівці з Lumu Technologies також зібрали коротку статистику про те, яке саме шкідливе програмне забезпечення використовувалося як прекурсор програм-вимагачів. Така інформація стане в нагоді фахівцям з кібербезпеки, які зможуть «полювати» на конкретну загрозу.

Emotet, спочатку банківський троян, еволюціонував, і тепер включає доставку зловмисного програмного забезпечення та розсилку спаму, зайнявши перше місце, складаючи три чверті виявленого зловмисного програмного забезпечення-прекурсора в 2021 році. Це шкідливе програмне забезпечення працює разом у ланцюжку програм-вимагачів також із TrickBot для розгортання програм-вимагачів Conti та Ryuk.

Phorpiex посів друге місце серед найбільш виявлених зловмисних програм-прекурсорів з 13% у 2021 році. Раніше Phorpiex використовувався для криптоджекінгу, але тепер він використовується для розгортання Pony, GandCrab, DSoftCrypt/ReadMe, BitRansomware, Nemty та Avaddon.

Dridex, який, як відомо, використовувався для крадіжки банківських облікових даних, тепер розгортає BitPaymer і DoppelPaymer. Було помічено, що Ursnif розгортає Egregor.

Фішинг URL-адрес в Instagram, Facebook Messenger і WhatsApp

Стало відомо, що користувачі найпопулярніших програм обміну повідомленнями опинилися під загрозою потенційних фішингових атак, які маскуються під легітимні посилання. Кілька провідних платформ обміну повідомленнями та електронною поштою, включаючи Facebook messenger, Signal, Whatsapp, Instagram та iMessage мають вразливість за допомогою якої хакери можуть проводити зміну URL-адреси на іншу, але таку, що буде замаскована під справжня посилання від Гугл чи подібне.

В чому фокус?

Фахівці з кібербезпеки підтверджують, що вразливість потенційно використовувалася протягом останніх трьох років, і вона все ще присутня в деяких із згаданих додатків.

Внаслідок того, що інтерфейс програми неправильно відображає URL-адреси з введеними контрольними символами RTLO (заміна справа наліво) Unicode, це робить користувача вразливим до потенційних атак з підробкою URI.

Переважно використовуючись для відображення повідомлень івритом або арабською мовою, введення символу RTLO в рядок змушує програму обміну повідомленнями або браузер відображати його справа наліво, а не як при звичайній орієнтації зліва направо.

Фішинг URL-адрес в Instagram, Facebook Messenger і WhatsApp — Скріншот із демонстраційного відео експлойту, зробленого анонімним дослідником

Однорядковий експлойт зловживає відношенням механізмів Android та iOS до gTLD та їх підтримкою відображення двонаправленого тексту. Таким чином, хак настільки простий як скопіювати та вставити, вам просто потрібно вставити один контрольний символ «\u202E» між двома URL-адресами.

Після того, як ви введете керуючий символ RTLO, URL-адресу буде змінено, оскільки тепер текст розглядається як мова, написана справа наліво (арабська, іврит тощо).

Так, наприклад, хакер може створити посилання “‘gepj.xyz”, але з цією хитрістю воно перетворюється на невинний “zyx.jpeg”, той самий “kpa.li” перетвориться на “li.apk”, який прикидається легітимним APK файлом. У таких випадках посилання може направити користувача до будь-якого місця призначення.

На перший погляд така фішингова URL-адреса буде виглядати як справжній субдомен google.com. або apple.com.

Що говорять дослідники щодо вразливості?

Уразливість отримала CVE в таких версіях додатків для обміну повідомленнями:

CVE-2020-20096 – WhatsApp 2.19.80 або раніше для iOS і 2.19.222 або раніше для Android;

CVE-2020-20095 – iMessage 14.3 або старіша версія для iOS;

CVE-2020-20094 – Instagram 106.0 або раніше для iOS і 107.0.0.11 або раніше для Android;

CVE-2020-20093 – Facebook Messenger 227.0 або раніше для iOS і 228.1.0.10.116 або раніше для Android.

Signal не має присвоєного CVE ID, тому що компанію була повідомлено нещодавно.

«Вимкніть попередній перегляд посилань у всьому, особливо в поштових додатках та у всьому, що пов’язано з сповіщеннями. Не відвідуйте дивні веб-сайти зі спливаючими вікнами. Не натискайте випадкових оголошень з розіграшами призів», – радять дослідники з Sick.Code користувачам згаданих програм, де виправлення ще не застосовано.

Отже, як це так сталося, що така дріб’язкова вразливість була упущена спільнотою кібербезпеки? Причина може полягати в тому, що через те, що вона і була дріб’язковою її було упущено серед всіх більш складних і небезпечних уразливостей. Хто знає?

Вперше вразливість було відкрито у 2019 році

У серпні 2019 року дослідник на ім’я «zadewg» зробив перше відкриття вразливості. Пізніше позаштатний дослідник безпеки з Sick.Code звернув увагу на вразливость, коли її було опубліковано в програмі CVE у Twitter.

Дослідник з Sick.Codes зв’язався з “zadewg”, щоб поцікавитися, чи він зробив репозиторій публічним чи ні. Дослідник лише здивовано відповів, на те, що CVE було випущено лише зараз, і не виявив бажання поділитися додатковою інформацією про метод експлойту вразливості.

Але двоє дослідників погодилися поділитися PoC (доказом концепції) на GitHub. Однорядкова PoC є загальнодоступною, і кожен, навіть з невеликими технічними знаннями, може спробувати її перевірити.

Для тих, хто цікавиться, існує ціла купа інших методів експлуатації на основі RTLO, що включають ще більш складні технічні концепції.

Користувачам уражених програм дослідники радять бути надзвичайно обережними при отриманні повідомлень, які містять URL-адреси, завжди натискати ліву частину отриманої URL-адреси та стежити за майбутніми оновленнями, які мають вирішити проблему.

Фахівці з кібербезпеки припускають, що ця фішингова атака може вплинути на багато інших програм миттєвого обміну повідомленнями та електронної пошти, але ще раз — підтверджено, що проблема пприсутня лише в тих, які згадані в статті.

Також повідомлялося, що Telegram має подібну уразливість, але його розробники вже вирішили цю проблему.

Єдино, що ще цікаво це те, як розробники вирішать проблему, оскільки символи RTLO Unicode мають легітимне використання, а будь-яке виправлення потенційно може зіпсувати його функціональність.

Що ще можна сказати про фішинг?

Тут буде представлено для вас маленьку базу знань щодо фішингу. Кожен знає, що це або має загальне уявлення про те, що таке фішинг.

Згідно з Вікіпедією, фішинг — це тип атаки соціальної інженерії, під час якої зловмисник надсилає шахрайське оманливе повідомлення з намірами розкритя зловмиснику конфіденційної інформації. Іноді фішингові атаки також робляться для запуску шкідливого програмного забезпечення на машині жертви.

У цій самій статті на Вікіпедії йдеться про те, що у 2020 році фішинг був найпоширенішим видом кібератак із двічі більшою кількістю інцидентів, ніж будь-який інший вид кіберзлочинів.

Фішинг поділяється на різні типи, але з однаковою метою: голосовий фішинг, фішинг у соціальних “вейлінг”, атака ділової електронної пошти (BEC), фішинг Microsoft 365 і фішинг-список.

Пояснимо деякі із згаданих типів. “Вейлінг” означає наміри зловмисників націлитися на «велику рибу», як правило, на генерального директора якоїсь компанії, щоб отримати через цю людину дуже конфіденційну інформацію, до якої ця конкретна ціль зазвичай має доступ.

А фішинг-список означає, що зловмисники націлені на конкретну людину, виключаючи рандомізацію атаки. У цьому типі фішингу кіберзлочинці можуть створювати більш реалістичні фішингові повідомлення, оскільки вони часто проводять невелике дослідження щодо своїх майбутніх жертв. За даними Інституту SANS, 95 відсотків усіх атак на корпоративні мережі відбуваються саме через такий тип фішингу.

Говорячи про поради щодо того, як уникнути фішингу, хоча можна було б написати довгий список у деталях або без них, я особисто вважаю, що найкращим правилом було б завжди прислухатися до здорового глузду.

Подумайте, чи дійсно цей електронний лист був призначений для вас, чи можна було б потенційно отримати такий тип повідомлення від вашого банку, наприклад? Будьте обережні, не переходьте відразу до клацання після того як отримали повідомлення.

Скільки заробляють кіберзлочинці?

Якщо ви коли-небудь замислювалися над тим, скільки заробляють ці хлопці-хакери, ви можете дізнатися це зараз. 27 лютого 2022 року обліковий запис в Twitter під назвою @ContiLeaks та багато інших подібних акаунтів почали публікувати досить соковиті подробиці про гроші та “працівників” злочинного світу.

«Я знаю тебе, ти знаєш мене, ми знаємо нас»

Злив даних в основному стосується Gold Blackburn і Gold Ulrick. В понад 160 000 повідомлень розкриваються переписки, якими обмінювалися майже 500 хакерів в період з січня 2020 року по березень 2022 року. Крім того, був витік вихідного коду та репозитарію інструментів; факти досить вагомі, які навіть привідкривають вуаль над раніше невідомими хакерськими угрупуваннями .

for now stern/deamon – try to hide himeself, changing nicknames, wants to make some voice calls 🙂 reshaev/cyberganster – in total panic. tramp – doing somethings unknown! We know everything about you Conti, go to panic, you can even trust your gf , we against you!
— conti leaks (@ContiLeaks) March 19, 2022

Серед інших витоків даних були також десятки досьє на багатьох кіберзлочинців з інформацією про громадянство, паспорт, номери банківських рахунків, номери телефонів, адреси, імена, фотографії. Фахівці з кібербезпеки поки не можуть визначити мотиви зливачів даних, але вони припускають, що деякі хакери не погоджуються з проросійськими заявами, які Gold Ulrick опублікував на своєму сайті злитих даних. Особа виконавця також не відома.

Що таке Gold Ulrick і Gold Blackburn?

Більшість витоків даних стосується двох різних, але з високим рівнем співпраці хакерських угрупувань. Свої ідентифікаційні назви вони отримали від дослідників Secureworks® Counter Threat Unit™ (CTU), які спостерігали за активністю, згаданою у витоку даних, і що пов’язана з хакерськими угрупуваннями Gold Blackburn і Gold Ulrick.

Gold Ulrick, фінансово вмотивована кіберзлочинна група, діє з середини 2018 року. Група використовувала програми-вимагачі Ryuk з серпня 2018 року до початку 2021 року та Conti з початку 2020 року. Вони націлені лише на організації.

Скільки заробляють кіберзлочинці? — Згадані в злитих повідомленнях акаунти та їх можливі зв’язки

Gold Blackburn, також фінансово мотивована кіберзлочинна група, діє з червня 2014 року. Зловмисне програмне забезпечення Trickbot, Buer Loader, Zloader, Anchor, BazarLoader належать цій групі.

Як зазначалося, це дуже різні хакерські угрупування, але вони демонструють не менший рівень співпраці. Дослідники CTU спостерігали, як оператори програм-вимагачів Conti і Ryuk використовували BazarLoader, TrickBot або інше шкідливе програмне забезпечення, випущене хакерським угрупуванням Gold Blackburn. Сервери командування та керування Cobalt Strike Beacon і PowerShell Empire (C2), які використовувалися в атаках, що проводили хакерські угрупування, спільно використовували TrickBot, і це може бути ознакою того, що одна організація підтримує інфраструктуру для обох хакерських угрупувань. Що чітко показує одну із численних ознак “близької дружби” серед них.

Але інші хакери також використовували це зловмисне програмне забезпечення, серед них LockBit, Maze та RansomExx (також відоме як 777).

Що було злито?

Як ми вже сказали, повідомлення, що було злито пролили світло на економіку злочинного світу, а також виявило деякі раніше невідомі факти.

Ознайомившись із матеріалом, який було злито, спеціалісти з кібербезпеки зробили кілька припущень щодо того, що саме було злито і що спеціалісти з відповідної галузі можуть взяти з цієї інформації.

У розкритих повідомленнях найбільше згадується персона під нікнеймом “Stern”. Цей обліковий запис, схоже, взаємодіє з широким колом співробітників злочинного світу, що робить його імовірним лідером. Згідно зі злитими повідомленнями, цей обліковий запис приймає ключові організаційні рішення, керує кризовими ситуаціями, спілкується з іншими хакерськими угрупуваннями і видає заробітну плату.

Персона “Stern” також контролює розповсюдження програм-вимагачів і роботу BazarLoader, TrickBot. З таким широким переліком обов’язків це показує, що цей обліковий запис є можливим лідером як в Gold Ulrick, так і в Gold Blackburn.

У повідомленнях також згадувалися представники інших хакерських груп, які активно спілкувалися з персоною “Stern”, а також іншими імовірними членами Gold Ulrick і Gold Blackburn. Серед них: Gold Swarthmore (IcedID),Gold Mystic (LockBit), Gold Crestwood (Emotet). Але дослідники попереджають, що незважаючи на зв’язок “Stern” із багатьма згаданими групами, вони не можуть висловлювати припущення, що ця особа керує всіма угруповуваннями.

Один із висновків, які дослідники могли зробити з витоків, полягає у тому, що вони, безумовно, показали зрілу добре організовану злочинну екосистему, в якій задіяно багато груп загроз. Вони не просто працюють поодинці, а допомагають один одному; можна навіть сказати, що це якась Корпорація Зла, що виросла в підземному світі.

My comments are coming from the bottom of my heart which is breaking over my dear Ukraine and my people. Looking of what is happening to it breaks my heart and sometimes my heart wants to scream.
— conti leaks (@ContiLeaks) March 1, 2022

Одне з повідомлень, яке винятково зацікавило дослідників, чисто з практичної точки зору, – це зарплата кіберзлочинців. Так, звичайно, Корпорація Зла пропонує вам оплачувану відпустку, лікарняний та багато бонусів. З одного злитого повідомлення ми дізнаємося, що в середньому люди там заробляють приблизно 1800 доларів США на місяць.

Така заробітна плата перевищує середню російську зарплату, яка становить приблизно 540 доларів США на місяць. Станом на 1 липня 2021 року на вказану біткойн-адресу внизу повідомлення надійшло 2,31 біткойна (що на той момент становило приблизно 80 000 доларів США).

Статистика програм-вимагачів

Якщо вас здивував той факт, що насправді існує навіть ціла така собі Корпорація Зла, то прочитайте наступну статистику щодо програм-вимагачів, підготовлену дослідниками з Purplesec, щоб зрозуміти фактичний масштаб цього конкретного виду кіберзлочинів:

Фахівці з кібербезпеки підрахували, що кожні 14 секунд хтось з бізнесу стає жертвою програм-вимагачів;

У 2019 році внаслідок збільшення кількості атак програм-вимагачів на 41% 205 000 компаній втратили доступ до своїх файлів;

У 2019 році фахівці з кібербезпеки виявили 68 000 нових троянських програм-вимагачів для мобільних пристроїв;

У 2019 році кількість нових варіантів програм-вимагачів зросла на 46%;

Соціальні кібер атаки, такі як фішинг, становлять 21% випадків зараження програмами-вимагачами;

У 2019 році кількість фішингових електронних листів із програмним забезпеченням-вимагачем зросла на 109% порівняно з 2017 роком;

Останніми роками, 350% у 2018 році, програми-вимагачі стали найпопулярнішою формою кібер атаки;

У 2021 році оператори програм-вимагачів висунули найбільшу відому вимогу про викуп у розмірі 100 мільйонів доларів;

У першому півріччі 2021 року (на 64% більше, ніж у минулому році) було зареєстровано 121 інцидент із програмним забезпеченням-вимагачем;

У 2021 році (зріс на 82% у порівнянні з минулим роком) середній викуп склав майже 570 000 доларів.

Читаючи всю цю статистику, можна уявити, що існує більше ніж одна Корпорація Зла та суми, які просто злітають до неба.

Хто найшвидший серед програм-вимагачів?

Нещодавно дослідниками зі Splunk було опубліковано дослідження щодо того яка з програм-вимагачів є найшвидшою. Вони спробували перевірити, який зразок програм-вимагачів виконає найшвидше за часом шифрування файлів.

Чому це важливо знати, скільки часу потрібно програмі-вимагачеві для шифрування системи?

Результати цього дослідження співпали з аналогічним дослідженням, а саме таким собі “маркетинговим” PR-трюком від банди хакерів LockBit, де вони також порівнювали різні сімейства програм-вимагачів щодо того, хто є найшвидшим. Їхнє власне програмне забезпечення-вимагач виявилося найшвидшим.

Дослідники зі Splunk стверджують, що результати цього дослідження допоможуть спеціалістам з кібербезпеки приймати більш точні рішення щодо загрози-вимагача. І взагалі дуже цікаво знати, чи можна зупинити повне шифрування після зараження і що важливіше, скільки часу ми маємо на такий випадок.

Дослідження проводилося в спеціальному контрольованому середовищі з моделюванням події реального зараження. Дослідники вибрали десять варіантів з десяти різних сімейств шкідливих програм. Загальна кількість файлів для тестування становить 53 ГБ. Усі 98 561 файли мали різні розширення, такі як pdf, XLS, doc.

Кожен зразок програм-вимагачів було запущено на чотирьох хостах і склало 400 різних запусків програм-вимагачів. Тобто, 10 сімей х 10 зразків на сімейство х 4 профілі. Для збору необхідних даних дослідники використовували комбінацію Microsoft Sysmon, stoQ, Zeek разом зі статистикою Windows Perfmon і власним журналом Windows.

«У нашій початковій гіпотезі ми стверджували, що якщо програмне забезпечення-вимагач вже виконується в системі, то для організації надто пізно хоч якось зреагувати, щоб це було ефективно. Ми провелиогляд літератури щодо цього питання і виявили лише роботу, яка була енциклопедичною за обсягом від одної з хакерських груп», – йдеться у статті, написаній у блозі команди.

Як проводилося дослідження щодо найшвидшого програмного забезпечення-вимагача?

Тож команда створила чотири різні машини-жертви, які мали операційні системи Windows Server 2019 і Windows 10. Слід зазначити, що кожна з них мала свої дві різні характеристики продуктивності, що імітували середовище клієнтів.

Усі зразки, які були взяті для тестування, дослідники отримали від ідентифікаторів виявлення Microsoft Defender на VirusTotal.

Хто найшвидший серед програм-вимагачів? — Тестовані зразки програм-вимагачів

Щоб фіксувати необхідні події шифрування, дослідники включили аудит на рівні об’єктів у 100 каталогах, де їх файли були перевірені. Це, у свою чергу, надало команді журнали EventCode 4663, які вони використовували для обчислення загального часу до шифрування (TTE) для кожного зразка відповідно.

Під час тестування зразків дослідники отримали доступ до значення Accesses DELETE в кінці кожного зашифрованого файлу з кожного зразка. І саме так вони вимірювали швидкість шифрування. Однак дослідники попереджають, що не з кожним програмним забезпеченням-вимагачем ви отримуєте це, а пошук EventCode=4663 Accesses=DELETE у Splunk не завжди дає однакові результати.

Результати дослідження

Результати дослідження виявилися такими, як «рекламувала» банда LockBit на своєму сайті Tor. Сімейство програм-вимагачів цих злочинних розробників зашифрувало тестові файли за чотири хвилини і дев’ять секунд. Бабук посів друге місце з відставанням на одну хвилину.

Але важливо розуміти, що розміщення програм-вимагачів було зроблено відповідно до середньої тривалості, оскільки результати деяких сімей можуть зіпсувати середню тривалість. Щоб пояснити, дослідники назвали один зразок програмного забезпечення Babuk, на шифрування файлів якому знадобилося більше трьох з половиною годин.

Дослідження також доступне з більш детальною інформацією за посиланням. Команда пообіцяла опублікувати більше.

І нарешті постає питання. Що фахівці з кібербезпеки можуть взяти з дослідження?
По-перше, це оригінальна гіпотеза команди, яка в основному привела до цього дослідження. Чи настільки швидкими бувають програми-вимагачі, щоб не можливо було їх зупинити при раптовому потраплянні в систему? Як виявилося, швидше за все, у вас справді є той самий мізерний шанс.

Поради щодо того, як уникнути зараження програмою-вимагачем

Але всі знають напевно, що завжди краще попередити проблему, ніж боротися з нею. Ще раз нагадую вам загальні поради, щоб уникнути зараження програмою-вимагачем:

Використовуйте послуги VPN у загальнодоступних мережах Wi-Fi. Якщо ви використовуєте загальнодоступні мережі Wi-Fi, завжди намагайтеся використовувати безпечне VPN-з’єднання. Особливо використовуйте його, коли виконуєте деякі конфіденційні транзакції, такі як деякі банківські платежі;

Використовуйте лише надійні джерела завантаження. Я думаю, що сьогодні цей пункт має видаватися більш ніж очевидним. Використовуйте лише ті сайти, які мають знаки безпеки та конфіденційності. Подивіться на адресний рядок браузера. Там ви повинні побачити “https” замість “http”. Символ блокування або щит також вказує на безпеку ресурсу. Особливу обережність слід приділяти, коли ви завантажуєте будь-що на свій телефон. Використовуйте Google Play Store або Apple App Store коли вам потрібно що-небудь завантажити на телефон;

Регулярно перевіряйте свої програми та операційні системи на наявність нових оновлень. Коли у вас остання версія програми або операційної системи, кіберзлочинцям важче виконувати експлойти на них. Перевірка нових оновлень не займає багато часу, але, безумовно, усуває багато майбутніх проблем;

Ніколи не використовуйте невідомі USB-накопичувачі. Ця порада для дуже або занадто допитливих людей. Коли ви думаєте, що нічого поганого не може статися, якщо я один раз подивлюся, то це саме те, де і ховається підступ. Справа в тому, що ви не знаєте, що зберігається на цій, здавалося б, втраченій USB-флешці, і краще не знати взагалі. Стара приказка говорить: «Чим менше знаєш, тим краще спиш».

І останні, але занадто очевидні, тому ми просто назвемо їх. Не переходьте за підозрілими посиланнями, не розголошуйте свою особисту інформацію там, де це може бути небезпечно, не відкривайте підозрілі вкладення електронної пошти.

Це лише поради, але зі здоровим глуздом вони несуть сенс безпеки. Будьте пильні.

Інструмент для розшифровки програм-вимагачів Diavol

Увага всім! Прийшли хороші новини. Кожен користувач, який став жертвою програм-вимагачів Diavol, тепер може відновити свої файли за допомогою безкоштовного інструменту дешифрування.

Як користуватися безкоштовним інструментом розшифровки?

Перед використанням засобу розглянемо наступне. Це важливо для успішного використання рішення для дешифрування. Обов’язково помістіть зловмисне програмне забезпечення в карантин, щоб воно не поверталося, коли ви закінчите відновлення своїх файлів.

Експерти з кібербезпеки також радять, якщо вашу систему було зламано через функцію віддаленого робочого столу Windows, вам слід негайно змінити паролі всіх користувачів, які мають доступ, і перевірити облікові записи локальних користувачів, до яких зловмисники могли додати додаткові облікові записи.

Інструмент для розшифровки програм-вимагачів Diavol — Коли користувач стає жертвою цієї програми-вимагача

Порада також була б не змінювати назви файлів оригінальних і зашифрованих файлів. Дешифратор виконає порівняння імен файлів, щоб вибрати правильне розширення файлу, яке використовувалося для шифрування.

Інструмент дешифрування попросить вас надати доступ до пари файлів, яка має складатися з одного зашифрованого файлу та оригінального, незашифрованої версії зашифрованого файлу. Це потрібно для відновлення ключів шифрування, щоб розшифрувати решту ваших даних. Розмір файлу має бути близько 20 Кб або більше.

Щоб прочитати інструкцію щодо використання інструменту дешифрування, перейдіть за посиланням.

Що таке програмне забезпечення-вимагач Diavol?

Вперше виявленене фахівцями з кібербезпеки в липні 2021 року, це сімейство програм-вимагачів показало, що воно має функцію подвійного вимагання. Це означає, що це зловмисне програмне забезпечення не тільки шифрує файли, але й, як стверджують його творці, може вилучати дані.

Wizard Spider, група кіберзлочинів, яка стоїть за сім’єю програм-вимагачів Конті та Рюка, а також керує ботнетом Trickbot, також керує програмним забезпеченням-вимагачем Diavol.

Це сімейство програм-вимагачів використовує шифрування RSA і спеціально зосереджено на типах файлів, перерахованих операторами. Зловмисне програмне забезпечення позначає кожен файл із розширенням «.lock64», згодом скидаючи записку про викуп з інструкціями.

Програма-вимагач генерує для кожного комп’ютера жертви унікальний ідентифікатор, а потім намагається підключитися до жорстко закодованого сервера командування та керування (C&C).

Згідно з розслідуванням ФБР, вимоги викупу Diavol сягають 500 000 доларів, найнижча сума – 10 000 доларів.

Група TrickBot керує програмним забезпеченням-вимагачем Diavol

Слово «Діавол» походить з румунської і означає диявол. Дослідники кібербезпеки побачили, що на початку червня 2021 року програмне забезпечення Conti разом з Diavol було розгорнуто в мережі під час однієї і тієї ж атаки.

Дослідники проаналізували два зразки програм-вимагачів. Знайдені подібності між усіма включали майже ідентичні параметри командного рядка для однакової функціональності та використання асинхронних операцій введення-виводу для черги шифрування файлів. Але не було достатньо доказів, щоб формально зв’язати дві операції.

Через кілька місяців дослідники з IBM X-Force також виявили зв’язок між TrickBot, Anchor та програмним забезпеченням-вимагачем Diavol. Всі вони є продуктами, розробленими TrickBot Gang, відомим як Wizard Spider.

У січні 2022 року ФБР офіційно оголосило, що програма-вимагач Diavol має прямий зв’язок із бандою TrickBot, яка поширює нові консультативні індикатори компромісу, які спостерігалися під час попередніх атак. Крім того, ФБР не підтвердили заяви кіберзлочинців щодо витоку даних про жертви, незважаючи на повідомлення про вимагання, які погрожують це зробити.

Аналіз програм-вимагачів Diavol

Під час виконання на зламаній машині програма-вимагач вилучає код із розділу ресурсу PE зображень. Потім він завантажує код з буфера з дозволами на виконання.
Витягнутий код складається з 14 різних процедур, які виконуються в такому порядку:

Створює ідентифікатор жертви;

Ініціалізує конфігурацію;

Змінює шпалери робочого столу;

Проводить шифрування;

Запобігає відновленню шляхом видалення тіньових копій;

Знаходить файли для шифрування;

Знаходить усі диски для шифрування;

Ініціалізує ключ шифрування;

Зупиняє послуги та процеси;

Реєструється на сервері C&C та оновлює конфігурацію.

Коли все буде акуратно зроблено, програма-вимагач Diavol змінює фон кожного зашифрованого пристрою Windows на чорні шпалери з наступним повідомленням: «Усі ваші файли зашифровано! Додаткову інформацію див. у README-FOR-DECRYPT.txt».

У програмі-вимагачі Diavol немає жодних обфускацій, оскільки вона не використовує жодних трюків проти розбирання чи упаковки. Хоча це ускладнює аналіз, коли програма зберігає основні підпрограми в растрових зображеннях.

Говорячи про процедуру шифрування, програма-вимагач використовує асинхронні виклики процедур (APC) в режимі користувача з асиметричним алгоритмом шифрування.

Це те, що відрізняє це сімейство програм-вимагачів від інших, оскільки інші сімейства програм-вимагачів використовують симетричні алгоритми, що значно прискорює процес шифрування.

Вітайте на сцені LokiLocker!

Дослідники з BlackBerry повідомляють про нове виявлене сімейство програм-вимагачів. LokiLocker RaaS нещодавно з’явився на сцені, і, як кажуть експерти з кібербезпеки, він не даремно носить ім’я скандинавського бога. У розгорнутій статті дослідники детально розглянули код LokiLocker, пояснили, як працює програма-вимагач, а також додали короткий абзац з порадами про те, як користувачі можуть уникнути зловмисного програмного забезпечення.

То хто такий Локі?

Якщо говорити про скандинавську міфологію, то з усіх богів, Локі, бог-трикстер, може бути найцікавішим. Згідно з Brittanica, це божество могло змінювати форму та стать, маючи на меті лише хаос. У скандинавській міфології Локі зображується таким, що завжди має якусь хитрість задуману. Те ж саме можна сказати і про сімейство одноіменних програм-вимагачів.

Вітайте LokiLocker на сцені! — Скандинавський бог-трікстер Локі

Вперше дослідники виявили зловмисне програмне забезпечення в середині серпня 2021 року. Команда попереджає користувачів, не плутати це сімейство програм-вимагачів з LokiBot (викрадачем інформації) і зі старшим сімейством програм-вимагачів Locky, яке було в основному відоме в 2016 році. Хоча дослідники додають, що LokiLocker має певну схожість з програмою-вимагачем LockBit (наприклад, ім’я файлу нотатки про викуп, значення реєстру), але все одно не можна точно сказати, що перший є прямим нащадком останнього.

Що там сховано у рукавах трюкарів-вимагачів?

Нове сімейство програм-вимагачів націлено на англомовних користувачів, які працюють на ОС Windows. Зловмисники написали зловмисне програмне забезпечення в .NET і захистили його за допомогою NETGuard (модифікованого ConfuserEX), додатково користуючись допомогою плагіна віртуалізації під назвою KoiVM. Колись плагін був ліцензованим комерційним захисником для додатків написаних в .NET, але в 2018 році його код став відкритим (в спільноті говорять, що його було злито), і тепер він доступний на GitHub. Koi, здається, є досить популярним застосуванням серед інструментів злому, але дослідники визнають, що вони не бачили, щоб багато шкідливого програмного забезпечення використовувало його.

У найперших спостережуваних зразках троянізовані інструменти для злому, такі як PayPal BruteChecker, FPSN Checker від Angeal (Cracked by MR_Liosion), використовувалися як розповсюджувачі програм-вимагачів. Для тих, хто не знає, брут-чекери — це інструменти, якими користуються хакери, коли їм потрібно “перевірити” викрадені облікові записи та отримати доступ до інших облікових записів. Такий прийом називається перебивання облікових даних. Дослідники припускають, що причиною того, що спочатку ці хакерські інструменти розповсюджували шкідливе програмне забезпечення, можливо полягає в тому, що хакери проводили своєрідне бета-тестування перед тим, як вийти на широкий ринок.

Тепер зловмисне програмне забезпечення працює як схема з обмеженим доступом, яка залучає досить невелику кількість ретельно перевірених афіліятів. Для кожного партнера призначається ім’я користувача та унікальний номер чату. Наразі команда Blackberry нарахувала близько 30 різних афіліятів LokiLocker.

LokiLocker працює в звичайний як для програм-вимагачів спосіб. Він шифрує файли жертви на локальних дисках і мережевих ресурсах, а потім просить жертву сплатити викуп. У разі отримання відмови від виплати вимаганих грошей зловмисне програмне забезпечення знищує зашифровані файли і переводить систему в повністю непридатний стан.

Зловмисники використовують стандартну комбінацію AES для шифрування файлів і RSA для захисту ключа. Спілкування відбувається за допомогою електронної пошти, де злочинці дають інструкції щодо сплати викупу. Якщо викуп не проходить, програма-вимагач видаляє всі несистемні файли та перезаписує MBR.

Хто стоїть за LokiLocker?

Здається, що LokiLocker не націлений на певну географію, але дослідники відзначають, що найбільша кількість жертв була зі Східної Європи та Азії. При аналізі коду з’ясувалося, що з усіх країн Іран був виключений з цілей. Але заковика в тому, що ця частина коду не працює.

Коли хакери створюють такий нецільовий список в коді, то це зазвичай країни, які вони особисто не хочуть включати, або ті, які лояльні до їхньої незаконної діяльності.

Дослідники вважають, що Іран міг потрапити в такий нефункціональний нецільовий список кодів в якості намагання хакерами приховати справжнє походження програми-вимагача. Але чим далі в ліс, тим більше дрів.

Дослідники нарахували щонайменше три унікальних імен користувачів, які використовувалися афіліятами LokiLocker, і це ті, які можна знайти на іранських хакерських каналах. Хоча можливість також говорить, що це, можливо, було зроблено лише для того, щоб перекласти провину на іранських хакерів, а не на реальних виконавців.

Проте може бути, що це справді іранські хакери, що стоять за програмним забезпеченням-вимагачем, оскільки деякі з інструментів для злому, які використовувалися для розповсюдження перших зразків , дослідники припускають, були розроблені іранською командою хакерів під назвою AccountCrack.

Не можна з певністю сказати, хто грає в карти чи китайські чи російські хакери, але також було помічено, що всі вбудовані рядки налагодження написані англійською мовою і в основному без мовних та орфографічних помилок. Дослідницька група каже, що це не звичайна норма для програм із згаданих країн.

Які будуть висновки?

Новоз’явленні програми вимагачі пройшли досить розгорнутий аналіз, і команда зробила певні висновки.

Перш за все, дослідники Blackberrie роблять припущення, що використання KoiVM як захисника віртуалізації для додатків .NET може стати тенденцією до створення шкідливих програм. Хоча це досить незвичайний метод для ускладнення аналізу.

По-друге, бути впевненим у походженні програми-вимагача не можна. Деякі деталі натякають на іранське авторство LokiLocker, але все ж у нас є нецільовий список з Іраном, хоча ця частина коду і не працює.

І по-третє, з новою кіберзагрозою на сцені, краще записати кілька порад від людей, які знають. Дослідники Blackberry люб’язно надали їх нам. Хоча в наші дні люди повинні знати ці поради, як-от «Коли холодно, потрібно тримати своє тіло в теплі». Очевидна річ, резервне копіювання і ще раз резервне копіювання. Створіть резервну копію вашої будь-якої важливої інформації. Більше того, тримайте пристрій відключеним (бажано) і в автономному режимі.

І не забувайте про загальні правила кібергігієни. Часто ми отримуємо проблеми зі здоров’ям від просто немитих рук перед обідом.

Немає безкоштовного інструменту для розшифровки файлів, зашифрованих LokiLocker. Якщо ваші файли було зашифровано програмним забезпеченням-вимагачем, повідомте про це місцеві органи поліції.

Не платіть викуп. Ви не тільки таким чином підтримуєте злочинну екосистему, і крім того немає гарантій, що ви отримаєте свої файли назад, або програмне забезпечення-вимагач не повернеться знову, оскільки ймовірно, що зловмисники встановили бекдор у вашому пристрої для легкого доступу в майбутньому.

Було знайдено Electron Bot в офіційному магазині Microsoft

Дослідники з Check Point Research (CPR) повідомляють про новий виявлений тип зловмисного програмного забезпечення, що поширюється через офіційний магазин Microsoft. Нова загроза здатна брати під контроль облікові записи соціальних мереж у SoundCloud, Google і Facebook.

Дослідники повідомляють, що шкідливе програмне забезпечення вже заразило понад 5000 активних пристроїв у всьому світі. Воно виявляє здатність реєструвати нові облікові записи, входити в акаунти, коментувати і навіть лайкати інші публікації. Зловмисники маскувалися під такі популярні ігри, як «Subway Surfer» і «Temple Run», для розповсюдження шкідливого програмного забезпечення.

Згодом зловмисники зможуть використовувати його як бекдор, щоб потім отримати повний контроль над пристроєм жертви. Більшість жертв шкідливого програмного забезпечення Electron Bot були зі Швеції, Бермудських островів, Іспанії, Болгарії та Росії.

Що таке Electron Bot?

CPR вже повідомив компанію Microsoft про знайдене зловмисне програмне забезпечення та всіх виявлених видавців ігор, які стоять за кампанією. Своє ім’я шкідливе програмне забезпечення отримало від останньої зафіксованої дослідниками його активності C&CdomainElectron-Bot[.]s3[.]eu-central-1[.]amazonaws.com. Шкідливе програмне забезпечення, яке є модульним SEO, використовувалося для шахрайства з кліками та просуванням в соціальних мережах.

Було знайдено Electron Bot в офіційному магазині Microsoft — Ланцюжок зараження шкідливим ПЗ

Зловмисники розпочали свою зловмисну діяльність як кампанію кліків реклами наприкінці 2018 року. У той час зловмисне програмне забезпечення ховалося за програмою під назвою «Альбом від Google Photos» в Microsoft Store, яка видавала себе за легальний продукт Google LLC. Протягом багатьох років зловмисне програмне забезпечення отримувало значні оновлення, зокрема нові функції та методи. Сьогодні хакери в основному поширюють його через платформу Microsoft Store, створюючи десятки заражених додатків (які в більшості випадків є іграми). Зловмисники також не забувають регулярно оновлювати шкідливе програмне забезпечення.

Electron Bot використовує фреймворк Electron, який імітує поведінку користувача під час перегляду веб-сайтів і має функцію оминання захисту веб-сайтів. Electron — це фреймворк, розроблений для створення кросплатформних настільних додатків, які використовують веб-скрипти. Він поєднує час виконання Node.js і механізм візуалізації Chromium, що уможливлює функціонал браузера, який керується сценаріями, наприклад JavaScript.

Можливості Electron Bot

Щоб уникнути виявлення, зловмисники динамічно завантажують шкідливе програмне забезпечення під час виконання зі своїх серверів. Такі дії дозволяють їм у будь-який момент змінити поведінку ботів і змінити зловмисне навантаження програмного забезпечення. Дослідники описали наступний “функціонал” Electron Bot:

Він просуває онлайн-продукти, приносячи прибутки за допомогою кліків по рекламі або збільшенням рейтингу магазину, в свою чергу збільшуючи його продажі;

Він просуває облікові записи в соціальних мережах, наприклад SoundCloud і YouTube, спрямовуючи трафік на певний контент і таким чином збільшуючи перегляди та кількість кліків по оголошеннях для отримання прибутку;

Це також рекламний клікер, комп’ютерний вірус, який працює у фоновому режимі, постійно підключаючись до віддалених веб-сайтів і таким чином створюючи кліки для реклами. Зловмисники отримають прибуток залежно від того, скільки разів було натиснуто оголошення;

Чорне SEO, зловмисницький метод, коли хакери, використовуючи тактику пошукової оптимізації, створюють шкідливі веб-сайти, які потім відображатимуться першими в результатах пошуку. Зловмисники також використовують цей метод як сервіс для просування рейтингу інших веб-сайтів.

Як Electron Bot заражає своїх жертв?

Дослідники описують ланцюжок зараження зловмисним ПЗ як звичайний для такого типу шкідливого ПЗ. Він починається з встановлення зараженої програми, яку користувач завантажує з Microsoft Store.

Коли користувач запускає гру, дроппер JavaScript динамічно завантажується у фоновому режимі із сервера зловмисників. Після цього виконується кілька дій, серед яких завантаження та встановлення зловмисного програмного забезпечення та його збереження в папці запуску.

Коли справа доходить до безпосередньої роботи шкідливого програмного забезпечення, при наступному запуску системи воно запускається. Шкідливе програмне забезпечення також встановлює з’єднання з C&C і згодом отримує динамічне шкідливе навантаження JavaScript з набором функцій можливостей. У самому кінці налаштування шкідливого процесу C&C надсилає файл конфігурації, що містить команди для виконання.

Як уникнути зараження шкідливим ПЗ?

Дослідники відзначають, що наразі зловмисне програмне забезпечення не бере участі у високоризикованій діяльності на заражених машинах, але було б не зайве знати, як взагалі уникнути зараження. Electron Bot також може використовуватися хакерами в якості дропера для RAT або навіть програми-вимагача. Крім того, він виконує експлуатацію всіх ресурсів комп’ютера, включаючи обчислення GPU.

Користувачі зазвичай вірять у безпечність програм, що мають принаймні хоча б деяку кількість відгуків. Але користувачам все ж треба з серйозністю підходити до цього питання. Ми повторюємо це ще раз: недостатньо, щоб додаток вважався офіційним лише тому, що він має певну кількість відгуків.

Потрібно уважніше придивлятися до цих відгуків. Вони мають читаться так, як такі, що були написані реальними людьми. Це може бути нескладним завданням, щоб перевірити, якщо поставити себе на місце реального користувача.

Просто поміркуйте про власний відгук про програму, з якою ви працювали вже протягом тривалого часу. Те, що вам спадає на думку, якраз і може бути прикладом реального відгуку реальної людини.

Наприкінці своєї статті з оглядом нової загрози дослідники з CPR додали кілька порад з безпеки щодо того, як уникнути зараження таким та подібним видом шкідливої програми. І поради будуть наступними:

Перш ніж прийняти рішення про завантаження будь-якої програми, уважно придивіться до її назви. Чи звучить вона так само, як, як ви знаєте звучить оригінальна назва цієї програми?

Краще не завантажувати програму з відносно невеликою кількістю відгуків. Щось 100 відгуків або менше для програми, як-от якийсь месенджер, повинно вас насторожити;

Загальне правило полягає в тому, що відгуки повинні бути з різними часовими проміжками, позитивними та реалістичними.

На додаток до цих порад ви також можете перевірити видавця програми та знайти інформацію про нього в Інтернеті. Якщо це щось темне, ви, швидше за все, отримаєте очікуваний результат.