„LockerGoga“ siekia užpulti kritinę infrastruktūrą visame pasaulyje, sujungdama pastangas kaip „Ransomware Trio“ dalį

Tyrėjai teigia, kad išpuoliuose naudojamos „LockerGoga“, „MegaCortex“ ir „Ryuk“ išpirkos programos, nukreiptos į kritinę infrastruktūrą visame pasaulyje.

„Ransomware“ sukėlė rimtą chaosą visame pasaulyje. Bendrovės baiminasi, kad jų duomenų bazės bus nuniokotos dėl vis didėjančių išpirkos programų išpuolių, nukreiptų į vis daugiau ir daugiau pagrindinių pramonės šakų.

Nyderlandų vyriausybė įspėja apie tris baisius „Ransomware“

Nyderlandų nacionalinio kibernetinio saugumo centro pranešime teigiama, kad išpirkos programos paveikė mažiausiai 1800 verslo įmonių visame pasaulyje. Ataskaitoje taip pat pabrėžiamos trys failų šifravimo kenkėjiškų programų dalys, atsakingos už didžiulę infekciją. Tai yra „LockerGoga“, „MegaCortex“ ir „Ryuk“ išpirkos programos. Tyrėjų teigimu, šios trys išpirkos programinės įrangos grėsmės naudoja tą pačią skaitmeninę infrastruktūrą ir yra laikomos „įprastomis išpirkos programų formomis“.

Paveikta kritinė infrastruktūra

Nors NCSC teigė, kad kenkėjiškų programų aukų buvo apie 1800, realus tikslinių bendrovių skaičius gali būti daug didesnis . Nukentėjusiųjų organizacijų pavadinimai liko nežinomi, tačiau tyrėjai teigė, kad išpirkos programų išpuoliai buvo nukreipti prieš kritinę infrastruktūrą visame pasaulyje.

NCSC rado įrodymų, kad „Ryuk“ buvo naudojamas išpirkos programų išpuoliuose prieš vyriausybę, švietimą ir sveikatos priežiūros įstaigas . Viena didžiausių jos aukų yra Ispanijos tarptautinė įmonė „Prosegur“. Išpuolis prieš jį atskirtas tiek vidines, tiek išorines sistemas, nutraukiant ryšius su klientais.

„MegaCortex“ yra žinoma, kad taikosi į įmonių tinklus. Išpirkos programinė įranga užšifruoja failus, keičia vartotojo slaptažodį ir grasina paskelbti aukos failus, jei jie nesumoka išpirkos. Viena iš kenkėjiškų programų aukų buvo Sophos, kuris pranešė, kad jų tinkluose esantys „Emotet“ ar „Qakbot“ trojanai buvo užkrėsti „MegaCortex“.

Tuo pačiu metu „LockerGoga“ išpirkos programinė įranga buvo naudojama keliuose kenkėjiškų programų išpuoliuose prieš kritinę infrastruktūrą, tokiose kaip „Altran Technologies“ Prancūzijoje, chemijos kompanijos „Hexion“ ir „Momentive“ JAV bei „Norsk Hydro“ Norvegijoje, verčiant pereiti prie rankinių operacijų.

„Ransomware Trio“ įdiegiama per tikslinius išpuolius

Yra žinoma, kad „LockerGoga“ yra aukšto lygio infekcijų, nukreiptų būtent į dideles korporacijas, bangos dalis. Nustatyta, kad už išpuolius atsakingos grupės išeina iš Rusijos, kur infrastruktūra yra nuomojama iš kitų grupių. Be to, su infrastruktūra susijusios grupės leidžia nukreipti dideles įmones ir užkrėsti jas „LockerGoga“.

Kibernetiniai ekspertai atskleidė, kad didžiąją dalį atakų gana profesionaliai vykdė „profesionali nusikalstama organizacija“. Kol viena iš grupių užsiėmė skverbimosi pastangomis, kita dislokavo kenkėjiškas programas. Naudodamiesi „TrickBot“ ir „Emotet“ kenkėjiškų programų grėsmių variantais, pažeidžiamos sistemos gali būti užkrėstos „LockerGoga“, todėl ji gali nuleisti savo naudingąją dalį per užpakalinį duris. „LockerGoga“ naudingosios apkrovos gali būti vykdomos naudojant pervadintą sistemos administravimo įrankio versiją. Pradinis „LockerGoga“ plitimas paprastai vyksta per užkrėstus terminalus į kitas tinklo prijungtas sistemas.

Pasak tyrėjų, kurie analizavo „MegaCortex“ išpirkos programinę įrangą, įsilaužėliai pirmiausia turėjo prieigą prie tinklo, o paskui pakenkė „Windows“ domeno valdikliui. Padarę pavojų domeno valdikliui, nusikaltėliai įdės „Cobalt Strike“, kad jiems būtų atidarytas atvirkštinis apvalkalas.

Įgiję visišką prieigą prie tinklo, įsilaužėliai pasinaudos „PsExec“, norėdami paskleisti paketinį failą ir „winnit.exe“ vadinamą išpirkos programinę įrangą likusiems kompiuteriams, kaip parodyta 1 paveiksle žemiau. Tada paketinis failas būtų įvykdytas, o visos darbo vietos būtų iškart užšifruotos.


1 pav. Pakeitimo failas - šaltinis: Bleepstatic.com

Paleidus vykdomąjį winnit.exe, turėtų būti pateikta tam tikra „base64“ koduotė eilutė, kad „MegaCortex“ galėtų išgauti ir įšvirkšti DLL į atmintį. Kai „ransomware“ užšifruoja failą, jis pridės .megac0rtx plėtinį prie savo pavadinimo ir MEGA-G8 = failo žymeklį, kaip parodyta 2 paveiksle žemiau.

Mokslininkų teigimu, „MegaCortex“ buvo sukurtas stebėti gyvą įsilaužėlį, o pasibaigus vykdymui išvalytas, panašiai kaip „LockerGoga“ naudojami metodai.


2 pav. „MegaCortex“ failų šifravimas - Šaltinis: Bleepstatic.com

„MegaCortex“ išpirkos užrašas vadinasi „!!! _ READ-ME _ !!!. Txt“ ir išsaugomas aukos darbalaukyje. Jame yra užpuolikų el. Laiškai ir mokėjimo instrukcijos. Išpirkos sumos paprastai svyruoja nuo 2–3 bitkoinų iki 600 BTC, kaip parodyta 3 paveiksle žemiau.


3 pav. „MegaCortex Ransom Note“ - šaltinis: Bleepstatic.com

Išanalizavę „Ryuk“ išpirkos programinę įrangą, saugumo ekspertai pareiškė, kad ji naudoja „Wake-on-Lan“ funkciją (aparatinės įrangos funkciją, leidžiančią pažadinti atjungtą įrenginį arba įjungtą, siunčiant į jį specialų tinklo paketą). įjungus išjungtus įrenginius kompromituotame tinkle, kad būtų didesnė sėkmė juos užšifruoti. Vykdydamas „Ryuk“, jis sukels papildomus procesus, pateikdamas argumentą „8 LAN“, kaip parodyta 4 paveiksle žemiau.


4 pav. Neršiančių antrinių procesų su argumentu '8 LAN' šaltinis: Bleepstatic.com

Tada išpirkos programa nuskaitys įrenginio ARP lentelę ir patikrins, ar įrašai yra „10.“, „172.16.“ Ir „192.168“ privačių IP adresų potinklių dalis, kaip parodyta 5 paveiksle žemiau. Taip pat reikia atkreipti dėmesį į tai, kad „LockerGoga“ gali komandų eilutę perkelti į TEMP aplanką ir pervadinti save, kad iš esmės išvengtų aptikimo. „LockerGoga“ taip pat turi vaikų procesus, kurių užduotis yra užšifruoti duomenis, tai yra metodas, kurį priėmė kitos išpirkos programos grėsmės.


5 pav. Privatiojo tinklo tikrinimas - Šaltinis: Bleepstatic.com

Jei ARP įrašas yra kurio nors iš tų tinklų dalis, „Ryuk“ išpirkos programa atsiųs „Wake-on-Lan“ (WoL) paketą įrenginio MAC adresu, kad jis būtų įjungtas. WoL užklausa pateikiama „stebuklingo paketo“ forma, kuriame yra „FF FF FF FF FF FF FF FF FF FF“, kaip parodyta 6 paveiksle žemiau.


6 paveikslas. „Ryuk Ransomware“ siunčia „WoL“ paketą - Šaltinis: Bleepstatic.com

Jei WoL užklausa bus sėkminga, „Ryuk“ bandys sumontuoti nuotolinio įrenginio C $ administracinę dalį. Kai dalis bus sujungta, nuotolinio kompiuterio diskas taip pat bus užšifruotas.

Susieti el. Pašto adresai su „Ryuk“ išpirkos programomis yra eliasmarco@tutanota.com ir CamdenScott@protonmail.com, įtraukti į jos išpirkos raštelį, kaip parodyta 7 paveiksle žemiau.


7 paveikslas. Ryuk Ransom pastaba - šaltinis: Zdnet.com

„LockerGoga“, kurią pasitelkė praktiškai ta pati įsilaužėlių grupė, pirmą kartą buvo pastebėta 2019 m. Sausio mėn., Kai išpirkos programinė įranga smogė prancūzų kompanijos „Altran Technologies“ sistemoms. Dėl šios atakos įmonės tinklą reikėjo nedelsiant uždaryti.

Kibernetinių ekspertų teigimu, „LockerGoga“ išpirkos programinė įranga dažniausiai nukreipta į DOC, DOT, WBK, DOCX, DOTX, DOCB, XLM, XLSX, XLTX, XLSB, XLW, PPT, POT, PPS, PPTX, POTX, PPSX, SLDX ir PDF failus. Tačiau jei kenkėjiška programa paleidžiama naudojant komandinės eilutės argumentą „-w“, ji užpuls visus failų tipus.

Kiti palaikomi jungikliai yra „-k“ ir „-m“, skirti 64 pagrindų kodavimui ir el. Pašto adresų, įtrauktų į išpirkos raštą, pateikimui.

Užšifravęs tikslinius failus, „LockerGoga“ prie jų pridės .locked plėtinį. Tai reiškia, kad failas, vadinamas test.jpg, pirmiausia bus užšifruotas, o po to pervadintas į test.jpg.locked, kaip parodyta 8 paveiksle žemiau.


8 pav. „LockerGoga“ užšifruoti failai - Šaltinis: Bleepstatic.com

Kai išpirkos programa užšifruoja failus kompiuteryje, ant darbalaukio jis išmes išpirkos raštelį, vadinamą README-NOW.txt, kuriame yra el. Pašto adresai, skirti mokėjimo nurodymus mainais į iššifravimo raktą, kaip parodyta 9 paveiksle žemiau.


9 paveikslas. „LockerGoga Ransom Note“ - šaltinis: Bleepstatic.com

Įdomus faktas apie „LockerGoga“ išpirkos programinę įrangą yra tas, kad jis naudoja galiojantį sertifikatą, kuris padidina jo diegimo galimybes aukos kompiuteryje, nesukeliant jokių įtarimų. Tačiau jei atkreipiate dėmesį į „Windows“ perspėjimą, kuriame prašoma patvirtinti sertifikatą, pastebėsite, kad kažkas negerai, nes jis skirtas „Windows Services“ pagrindiniam procesui, o parašas yra „MIKL Limited“ (JK įsteigta IT konsultavimo įmonė) 2014 m. gruodžio 17 d.), kaip parodyta 10 paveiksle žemiau.


10 pav. „LockerGoga“ sertifikatas - Šaltinis: Bleepstatic.com

Tyrėjų teigimu, iki šiol žinomi „LockerGoga“ išpirkos programų pavyzdžiai yra „darbuotojas“ ir „darbininkas32“, o išpirkos programa pradeda procesą pavadinimu, panašiu į tai, ką „Microsoft“ naudoja savo „Windows“ paslaugoms, pvz., „Svch0st“ arba „ svchub “.

Susieti el. Pašto adresai su „LockerGoga“ išpirkos programomis yra „CottleAkela@protonmail.com“ ir „QyavauZehyco1994@o2.pl“, įtraukti į išpirkos užrašą, kaip parodyta 11 paveiksle žemiau.


11 paveikslas. „LockerGoga Ransom“ pastaba - Šaltinis: Bleepstatic.com

„Ransomware“ išpuolių ir toliau daugėja

Tai, kad trijų kenkėjiškų programų pakako didelėms kompanijoms nutraukti, yra daugiau nei trikdanti. Pasak saugumo ekspertų, išpirkos programų išpuolių sėkmė verčia užpuolikus dar ryžtingiau siekti savo tikslų, o tiksliniai verslai nuolat auga.

Verslo aukų platinimas išpirkos programomis toli gražu nėra blogiausia įsibrovimo dalis. Kai kuriais atvejais prieš failo šifravimą atliekamas duomenų išfiltravimas, kuris gali būti parduotas kitiems įsilaužėliams arba panaudotas sabotažo veiksmams atlikti. Taigi, kol aukos sumokės išpirką, atakos bus tęsiamos, o įmonėms liko tik didinti internetinį saugumą, perspėja kibernetiniai ekspertai.

January 21, 2020
Įkeliama ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.