Tyrėjai priskiria du tikslinius „Ransomware“ išpuolius „Lazarus“ įsilaužimų grupei

Ar Holivudas patikėtų, kad paauglių piratai, dėvimi su gobtuvais, gali iškrėsti milijardus dolerių kainuojančius verslo milžinus iš tėvų rūpesčių. Tačiau realiame pasaulyje viskas veikia ne taip. Sudėtingus kibernetinius išpuolius vykdo patyrę nusikaltėliai, kurie turi daug išteklių.

„Ransomware“ kampanijos, nukreiptos į konkrečias organizacijas, yra ypač sudėtingos operacijos, kurios dažnai apima keletą atskirų įsilaužimų ekipažų, kurie visi dirba skirtingas užduotis. Pavyzdžiui, viena komanda būtų atsakinga už komandos „Command & Control“ (C&C) infrastruktūros sukūrimą, antroji kompromituotų aukos tinklą, trečioji užtikrintų, kad būtų užkrėsta kuo daugiau kompiuterių, o ketvirtoji būtų atsakinga už faktinė „ransomware“ naudingoji apkrova. Kaspersky tyrėjai išsamiau aprašė sistemą antradienio dienoraščio įraše, tačiau jie taip pat paminėjo keletą taisyklių išimčių.

VHD išpirkos programa atkreipia ekspertų dėmesį

Aprašytas dviejų „Kaspersky“ ekspertų aprašytas kibernetinis išpuolis buvo „VHD“ išpirkos programinė įranga - palyginti nauja failą šifruojanti kenkėjiška programa, kuri pasirodė prieš kelis mėnesius. Pati išpirkos programa nėra ypač sudėtinga. Jis nuskaito užkrėstų kompiuterių standiuosius diskus, užšifruodamas failus naudodamas AES ir RSA derinį ir ištrindamas sistemos atkūrimo taškus, kad būtų sunkiau gauti duomenis. Vis dėlto tyrėjų dėmesį patraukė kelios atakų ypatybės.

Pirmasis buvo paleistas kovo mėn., O ekspertai pastebėjo, kad jame yra labai įdomus mechanizmas, kaip plisti per aukos tinklą. Pasinaudoję automatizuotu įrankiu, įsilaužėliai pasinaudojo aukų specifinių SMB kredencialų sąrašu, norėdami atlikti prievartą prie kitų kompiuterių, o po sėkmingo prisijungimo prie jų nukopijavo „VHD ransomware“ naudingą apkrovą ir įvykdė ją per WMI skambučius.

Tai nėra metodai, kuriuos naudosis „malūnininkų“ piratavimo įgulos, ir ekspertai žinojo, kad greičiausiai jie nori kažko rimtesnio. Panašiai jie jautėsi ir po poros mėnesių, kai buvo pašaukti reaguoti į dar vieną išpuolį, apimantį VHD išpirkos programinę įrangą.

Šį kartą pradinis įvažiavimo taškas buvo pažeidžiami VPN vartai, per kuriuos įsilaužėliai įgijo administracines privilegijas ir dislokavo užnugarį. Padarę pavojų aukos „Active Directory“ serveriui, nusikaltėliai pradėjo platinti VHD išpirkos programų kopijas nenustatytam skaičiui kompiuterių.

Atidžiau pažvelgę į užpakalinį duris, tyrėjai suprato, su kuo tiksliai susidūrė.

Lozoriaus ryšys

Centas sumažėjo, kai tyrėjai nustatė, kad antrosios atakos metu naudoti užpakaliniai vartai yra pavyzdys to, ką jie vadina MATA kenkėjiškų programų sistema.

Anksčiau kalbėjome apie tai, koks kietas priskyrimas yra kibernetinio saugumo pasaulyje, tačiau atidžiai jį ištyrę, „Kaspersky“ ekspertai yra beveik tikri, kad MATA sistema buvo sukurta ir naudojama liūdnai pagarsėjusių „Lazarus“ įsilaužimų grupė.

„Lazarus“ yra rafinuotų įsilaužėlių komanda, atsakinga už nemažai masinių kibernetinių išpuolių, įskaitant „Sony“ nutekėjimą nuo 2014 m. Ir „OlympicDestroyer“ valytuvo, kuris paralyžiavo kritinę IT infrastruktūrą prieš 2018 m. Žiemos olimpines žaidynes Pyeongchange, paleidimą. Manoma, kad Lazarus yra susijęs su Šiaurės Korėjos vyriausybė, o jos vardas buvo siejamas su viskuo, pradedant finansiniais išpuoliais ir baigiant didelėmis kibernetinės reklamos kampanijomis. Anot Kaspersky, VHD išpirkos programa yra naujausias jų kūrinys.

Išpirkos programinė įranga gali būti ne itin sudėtinga, tačiau ji nebuvo matyta jokiuose kituose išpuoliuose, o tyrėjai yra gana tikri, kad įsilaužėliai jos nenuomoja iš kitos kibernetinių nusikaltimų gaujos. Tuo pat metu jie yra gana tikri, kad Lozorius yra vienintelė įgula, turinti prieigą prie priemonių ir metodų, naudojamų per išpuolius kovo ir gegužės mėn.

Užuot pasidalinęs pelną su kitomis kibernetinių nusikaltimų apranga, Lozorius nutarė tai padaryti vien tik su VHD išpirkos programine įranga. Tik laikas parodys, ar tai bus gera strategija, tačiau, atsižvelgiant į puikų grupės žlugdančių kibernetinių išpuolių paketą, mes negalėtume lažintis. Jei vadovaujate organizacijai, kuriai gali būti skirtas „Lazarus“, turite įsitikinti, kad jūsų grėsmės modelyje yra išpirkos programų išpuolis naudojant „VHD“ išpirkos programas.