LockerGoga стремится атаковать критически важные инфраструктуры по всему миру, объединяя усилия в рамках трио вымогателей

Следователи говорят, что LockerGoga, MegaCortex и Ryuk Ransomware используются для атак, направленных на критические инфраструктуры по всему миру.

Ransomware вызывает серьезный хаос в бизнесе по всему миру. Компании опасаются, что их базы данных будут опустошены растущими атаками вымогателей, нацеленными на все больше ключевых отраслей.

Правительство Нидерландов предупреждает о трех ужасных вымогателей

В отчете Национального центра кибербезопасности в Нидерландах говорится, что вымогатели страдают как минимум от 1800 предприятий по всему миру. В отчете также выделяются три вредоносных файла с шифрованием файлов, которые ответственны за массовое заражение. Это LockerGoga, MegaCortex и Ryuk Ransomware. По словам следователей, эти три угрозы вымогателей используют одну и ту же цифровую инфраструктуру и считаются «распространенными формами вымогателей».

Затронутые критические инфраструктуры

Хотя NCSC сказал, что жертвами вредоносного ПО было около 1800, фактическое количество целевых компаний может быть намного выше . Имена затронутых организаций оставались неизвестными, однако следователи заявили, что атаки вымогателей были направлены против критических инфраструктур по всему миру.

NCSC обнаружил доказательства того, что Рюк использовался в атаках вымогателей на государственные, образовательные и медицинские учреждения . Одной из ее огромных жертв является испанская многонациональная компания Prosegur. Атака на него привела к изоляции как внутренних, так и внешних систем, отключив связь со своими клиентами.

MegaCortex известен тем, что предназначался для корпоративных сетей. Программа-вымогатель шифрует файлы, изменяет пароль пользователя и угрожает опубликовать файлы жертвы, если они не заплатят выкуп. Одной из жертв вредоносного ПО был Sophos, который сообщил, что трояны Emotet или Qakbot в своих сетях были заражены MegaCortex.

В то же время LockerGoga Ransomware использовался в нескольких вредоносных атаках на критические инфраструктуры, такие как Altran Technologies во Франции, химические компании Hexion и Momentive в США и Norsk Hydro в Норвегии, заставляя переходить на ручные операции.

Трио Ransomware устанавливается через целевые атаки

LockerGoga, как известно, является частью волны громких инфекций, которые специально нацелены на крупные корпорации. Группа, ответственная за атаки, была определена как группа, которая выходит из России, где инфраструктура арендована у других групп. Кроме того, группы, связанные с инфраструктурой, позволяют нацеливаться на крупные компании и заражать их с помощью LockerGoga.

Кибер-эксперты показали, что большинство атак было совершено «профессиональной преступной организацией» довольно организованно. Пока одна из групп занималась проникновением, другая развертывала вредоносное ПО. Используя различные варианты вредоносных программ TrickBot и Emotet, уязвимые системы могут быть заражены LockerGoga, что приводит к падению его полезной нагрузки через черный ход. Их полезная нагрузка LockerGoga может быть выполнена через переименованную версию инструмента системного администрирования. Первоначальное распространение LockerGoga обычно происходит через зараженные терминалы на другие подключенные системы в сети.

По словам исследователей, которые проанализировали вымогателей MegaCortex, хакеры сначала получали доступ к сети, а затем скомпрометировали контроллер домена Windows. После взлома контроллера домена злоумышленники установят Cobalt Strike, чтобы открыть им обратную оболочку.

Получив полный доступ к сети, хакеры будут использовать PsExec для распространения командного файла и вымогателя winnit.exe на остальные компьютеры, как показано на рисунке 1 ниже. Затем пакетный файл будет выполнен, и все рабочие станции будут немедленно зашифрованы.


Рисунок 1. Пакетный файл - источник: Bleepstatic.com

После запуска исполняемого файла winnit.exe должна быть предоставлена конкретная строка в кодировке base64, чтобы MegaCortex мог извлекать и вставлять DLL в память. Когда вымогатель шифрует файл, он добавляет расширение .megac0rtx к своему имени и маркер файла MEGA-G8 =, как показано на рисунке 2 ниже.

По словам исследователей, MegaCortex был разработан для мониторинга живым хакером, а затем очищен после завершения выполнения, подобно методам, используемым LockerGoga.


Рисунок 2. Шифрование файлов MegaCortex - Источник: Bleepstatic.com

Примечание о выкупе MegaCortex называется "!!! _ READ-ME _ !!!. Txt" и сохраняется на рабочем столе жертвы. Содержит электронные письма злоумышленников и инструкции по оплате. Сумма выкупа обычно колеблется от 2-3 биткойнов до 600 биткойнов, как показано на рисунке 3 ниже.


Рисунок 3. Примечание MegaCortex Ransom - Источник: Bleepstatic.com

Проанализировав Ryuk Ransomware, эксперты по безопасности заявили, что он использует функцию Wake-on-Lan (аппаратную функцию, которая позволяет выключить или выключить устройство, отправив ему специальный сетевой пакет), чтобы включить его. на выключенных устройствах в скомпрометированной сети, чтобы добиться большего успеха при их шифровании. Как только Ryuk будет выполнен, он вызовет подпроцессы с аргументом «8 LAN», как показано на рисунке 4 ниже.


Рисунок 4. Создание подпроцессов с аргументом '8 LAN' - источник: Bleepstatic.com

Затем вымогатель просканирует таблицу ARP устройства и проверит, являются ли записи частью подсетей частного IP-адреса «10.», «172.16.» И «192.168», как показано на рисунке 5 ниже. Также стоит отметить тот факт, что LockerGoga может перемещать командную строку проблем в папку TEMP и переименовывать себя, чтобы существенно избежать обнаружения. LockerGoga также имеет дочерние процессы, которые выполняют задачу шифрования данных, что является методом, принятым другими угрозами вымогателей.


Рисунок 5. Проверка частной сети - источник: Bleepstatic.com

В случае, если запись ARP является частью какой-либо из этих сетей, Ryuk Ransomware отправит пакет Wake-on-Lan (WoL) на MAC-адрес устройства, чтобы включить его. Запрос WoL приходит в форме «магического пакета», который содержит «FF FF FF FF FF FF FF FF», как показано на рисунке 6 ниже.


Рисунок 6. Ryuk Ransomware, отправляющий пакет WoL - Источник: Bleepstatic.com

В случае успешного запроса WoL Рюк попытается подключить административный ресурс C $ удаленного устройства. Как только общий ресурс смонтирован, диск удаленного компьютера также будет зашифрован.

Адреса электронной почты, связанные с вымогателем Ryuk: eliasmarco@tutanota.com и CamdenScott@protonmail.com, включенные в его записку с требованием выкупа, как показано на рисунке 7 ниже.


Рисунок 7. Рюк Рэнсом Примечание - Источник: Zdnet.com

LockerGoga, которая использовалась практически той же группой хакеров, была впервые обнаружена в январе 2019 года, когда вымогатели попали в системы французской компании Altran Technologies. Из-за этой атаки сеть компании пришлось немедленно закрыть.

По словам кибер-экспертов, LockerGoga Ransomware обычно предназначается для файлов DOC, DOT, WBK, DOCX, DOTX, DOCB, XLM, XLSX, XLTX, XLSB, XLW, PPT, POT, PPS, PPTX, POTX, PPSX, SLDX и PDF-файлов. Однако если вредоносная программа запускается с аргументом командной строки -w, она будет атаковать все типы файлов.

Другие поддерживаемые ключи - это -k и -m для кодировки base 64 и для предоставления адресов электронной почты, включенных в записку с требованием выкупа.

После шифрования целевых файлов LockerGoga добавит к ним расширение .locked. Это означает, что файл с именем test.jpg сначала будет зашифрован, а затем переименован в test.jpg.locked, как показано на рисунке 8 ниже.


Рисунок 8. Зашифрованные файлы LockerGoga - Источник: Bleepstatic.com

Когда программа-вымогатель зашифровывает файлы на компьютере, она оставляет на рабочем столе записку с требованием README-NOW.txt, которая включает адреса электронной почты для инструкций по оплате в обмен на ключ дешифрования, как показано на рисунке 9 ниже.


Рисунок 9. Примечание LockerGoga Ransom - Источник: Bleepstatic.com

Интересным фактом о LockerGoga Ransomware является то, что он использует действующий сертификат, который увеличивает шансы его развертывания на компьютере жертвы, не вызывая никаких подозрений. Однако, если вы обратите внимание на предупреждение Windows, запрашивающее авторизацию сертификата, вы заметите, что что-то не так, потому что это для хост-процесса для служб Windows, а подпись принадлежит MIKL Limited (консалтинговая фирма, зарегистрированная в Великобритании. 17 декабря 2014 г.), как показано на рисунке 10 ниже.


Рисунок 10. Сертификат LockerGoga - Источник: Bleepstatic.com

По словам исследователей, на данный момент известны примеры файлов вымогателей LockerGoga: «работник» и «работник32», а вымогатель запускает процесс с именем, похожим на то, что Microsoft использует для своих служб Windows, например «svch0st» или «svch0st» svchub.

Адреса электронной почты, связанные с вымогателем LockerGoga: CottleAkela@protonmail.com и QyavauZehyco1994@o2.pl, включенные в его записку с требованием выкупа, как показано на рисунке 11 ниже.


Рисунок 11. Примечание LockerGoga Ransom - Источник: Bleepstatic.com

Атаки вымогателей продолжают расти

Тот факт, что трех вредоносных программ было достаточно для остановки работы крупных компаний, более чем тревожит. По мнению экспертов по безопасности, успех атак вымогателей делает злоумышленников еще более решительными для достижения своих целей, в то время как целевые предприятия продолжают расти.

Распространение вымогателей на корпоративных жертв далеко не является худшей частью вторжения. В некоторых случаях шифрованию файлов предшествует эксфильтрация данных, которая может быть продана другим хакерам или использована для совершения актов саботажа. Таким образом, пока жертвы платят выкуп, атаки будут продолжаться, и компаниям остается только повысить безопасность в Интернете, предупреждают кибер-эксперты.

January 21, 2020
Loading ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.