Angara Professional Assistance | Архиватор стал инструментом вымогателей

Архиватор стал инструментом вымогателей

Новый вымогатель выделился среди своих собратьев необычным способом ограничения доступа к файлам зараженного устройства.

Команда аналитиков из Sophos MTR поделилась информацией об обнаруженной в конце октября вымогательской кампании, которую реализовала новая хакерская группа, назвавшая себя Memento Team. Внимание экспертов привлек необычный подход, используемый злоумышленниками для блокировки доступа к файлам на устройствах жертв. Применяемая хакерами программа-вымогатель не шифрует файлы. Вместо этого она копирует их в архивы, защищенные паролем, используя утилиту WinRAR, таким образом шифруя его, а затем удаляет исходные файлы.

Сценарий заражения, продемонстрированный новой кибергруппировкой, интересен не только с точки зрения примененного метода. Как рассказывают эксперты, злоумышленники имели доступ к сети жертвы еще с мая. Скомпрометировать целевую систему оказалось несложно. Один из серверов VMware vCenter вовремя не получил важные обновления безопасности, устраняющие уязвимость CVE-2021-21972, чем, вероятно, и воспользовались злоумышленники: брандмауэр был настроен некорректно, порт TCP/IP 443 был открыт для входящего соединения из внешней сети, защитное ПО было устаревшим. Получив таким образом точку входа, преступники постепенно развивали вторжение. Загрузив с командного сервера необходимые утилиты, они перемещались вглубь сети, сканировали ее, похищали учетные записи, настраивали удаленный доступ. Среди использованных утилит были Plink для SSH-туннелирования, NMAP для сетевого сканирования, NPCAP для сниффинга, Mimikatz для кражи учетных данных и др.

При этом уязвимость оставалась доступной для эксплуатации вплоть до того дня, когда сервер был «зашифрован». Поэтому неудивительно, что за это время несколько других злоумышленников успели воспользоваться возможностью и независимо друг от друга разместили майнеры на уязвимом сервере.

К счастью для атакованной организации, настроенная система резервного копирования позволила восстановить большую часть заблокированных файлов, однако неизвестно, какие данные заполучили вымогатели, поэтому последствия вторжения являются долгосрочными.

«В данном случае компании удалось избежать безвозвратной потери доступа к файлам и серьезных финансовых потерь от выкупа ключей шифрования у злоумышленников. Грамотно настроенное резервное копирование – это одна из основных задач ИТ в целом, рекомендованная множествами отраслевых стандартов, ценность которой в условиях угрозы атак программ-вымогателей только растет. Однако применение мер для предотвращения компрометации устройств сети и заражения шифровальщиком также является необходимым, но не исключительным, решением для потенциальной жертвы по нескольким причинам. Во-первых, они позволяют избежать репутационных рисков, которые неизбежно несут успешно атакованные цели. Во-вторых, полученная в результате компрометации сети злоумышленниками информация о внутренней структуре организации и обрабатываемой на ее устройствах информации еще долгое время может наносить компании как финансовый ущерб в случае шантажа, так и ущерб, связанный с возможными будущими кибератаками на ее инфраструктуру», – комментирует Тимур Зиннятуллин, директор Центра киберустойчивости Angara Professional Assistance.