Исследователи приписывают две целевые атаки вымогателей в Lazarus Hacking Group

Голливуд заставил бы вас поверить, что подростковые хакеры в толстовках с капюшоном могут обрушить целые корпоративные гиганты на миллиарды долларов из-за дискомфорта в подвале своих родителей. В реальном мире, однако, вещи действительно не работают таким образом. Сложные кибератаки осуществляются опытными преступниками, которые имеют в своем распоряжении много ресурсов.

Кампании вымогателей, нацеленные на конкретные организации, представляют собой чрезвычайно сложные операции, в которых часто участвуют несколько отдельных хакерских бригад, все из которых работают над различными задачами. Одна команда, например, будет отвечать за обеспечение инфраструктуры командования и управления (C & C), вторая - скомпрометировать сеть жертвы, третья - обеспечить заражение как можно большего числа компьютеров, а четвертая - за фактическая полезная нагрузка вымогателей. Исследователи из Kaspersky более подробно описали систему в своем блоге во вторник, но они также упомянули пару исключений из правила.

VHD Ransomware привлекает внимание экспертов

Полезная нагрузка двух кибератак, описанных экспертами Касперского, была VHD Ransomware - относительно новая вредоносная программа для шифрования файлов, которая появилась несколько месяцев назад. Сам вымогатель не особенно сложен. Он сканирует жесткие диски зараженных хостов, шифрует файлы с помощью комбинации AES и RSA и удаляет точки восстановления системы, чтобы затруднить получение данных. Однако некоторые характеристики атак привлекли внимание исследователей.

Первый был запущен в марте, и эксперты заметили, что в нем задействован очень интересный механизм распространения через сеть жертвы. С помощью автоматизированного инструмента хакеры использовали список учетных данных SMB, относящихся к конкретной жертве, чтобы перехватить их путь к другим компьютерам, и после успешного подключения к ним они скопировали полезную нагрузку VHD-вымогателей и выполнили ее через вызовы WMI.

Это не те методы, которые использовала бы обычная хакерская бригада, и эксперты знали, что, возможно, они ищут что-то более серьезное. Через пару месяцев они почувствовали то же самое, когда их вызвали, чтобы ответить на еще одну атаку с использованием вымогателей VHD.

На этот раз начальной точкой входа был уязвимый VPN-шлюз, через который хакеры получили административные привилегии и развернули бэкдор. Скомпрометировав сервер Active Directory жертвы, преступники затем начали распространять копии VHD-вымогателей на неопределенное количество компьютеров.

Когда они поближе посмотрели на черный ход, исследователи точно поняли, с чем имеют дело.

Соединение Лазаря

Пенни упал, когда исследователи установили, что черный ход, использованный во время второй атаки, является примером того, что они называют структурой вредоносного ПО MATA.

В прошлом мы говорили о том, насколько сложно атрибуция в мире кибербезопасности, но, внимательно изучив ее, эксперты Касперского почти уверены, что инфраструктура MATA была создана и используется печально известной хакерской группой Lazarus.

Lazarus - это команда искушенных хакеров, ответственных за довольно много массовых кибератак, включая утечку Sony с 2014 года и запуск дворника OlympicDestroyer, который парализовал критическую ИТ-инфраструктуру перед зимними Олимпийскими играми в Пхенчхане в 2018 году. Считается, что Lazarus связан с северокорейское правительство, и его название было связано с чем-либо от финансовых мотивированных атак до крупных кампаний по кибершпионажу. По словам Касперского, VHD Ransomware является их последним созданием.

Вымогатель может быть не особенно сложным, но его не видели в других атаках, и исследователи почти уверены, что хакеры не арендуют его у другой банды киберпреступности. В то же время они почти уверены, что «Лазарус» - единственная команда, которая имеет доступ к инструментам и методам, использованным во время атак в марте и мае.

Вместо того, чтобы делиться прибылью с другими нарядами киберпреступников, Лазарь решил пойти на это один с вымогателями VHD. Только время покажет, будет ли это хорошей стратегией, но, учитывая выдающийся портфель разрушительных кибератак группы, мы бы не стали делать ставку против этого. Если вы управляете организацией, которая может быть целью Lazarus, вы должны убедиться, что атака вымогателей с использованием VHD-вымогателей входит в вашу модель угроз.