+7 (812) 677-17-05

Эволюция рансомвари

#

Только недавно писал про первую в истории supply chain атаку, а тут вот: вечером в пятницу 2 июля группировка REvil одним махом зашифровала файлы сотен американских компаний. Объединяет всех жертв только то, что они были клиентами Kaseya VSA, провайдера софта для мониторинга ИТ-инфраструктуры. У пострадавших вымогают за расшифровку данных от $45000 до $5 миллионов в XMR.

Считаю, довольно занятно, что хакеры вообще прибегнули к рансомвари, получив такие доступы. Кажется, задели только тех, кто использовал продукты Kaseya локально, а не в облаке.

Механика такая: Kaseya кладёт через автоапдейт в c:kworking файл agent.crt, подписанный как некий хотфикс. Сразу проходит PowerShell-команда, которая через стандартную certutil.exe обрабатывает файл и кладёт в ту же папку agent.exe. Agent.exe, в свою очередь, прогоняет MsMpEng.exe и mpsvc.dll. Второй файлик — это вот, собственно, и есть шифровщик Revil. А первый — старая версия Microsoft Defender, через которую этот dll запускается и радостно всё шифрует.

Забавный (ну, насколько возможно) бонус: в конфигурацию и ключи реестра хакеры-шутники закидывают политоту. Например, некоторые версии вируса загружаются в безопасном режиме, поставив паролем по умолчанию DTrump4ever. А другие варианты добавляют в реестр ключ HKLMSOFTWAREWow6432NodeBlackLivesMatter.

В понедельник стал известен примерный маштаб атаки — больше тысячи компаний из как минимум 17 стран, в основном США и Германии. Президент США Байден сообщил о федеральном расследовании атаки и упомянул, что рассматривается вариант с её российскими корнями.

Хакеры сообщили на своём сайте, что готовы опубликовать там же универсальный декриптор, если кто-то пожелает заплатить им за это 70 миллионов долларов в биткоинах. По нынешнему курсу это чуть больше 2 тысяч BTC. Похоже, атака вышла масштабнее, чем взломщики ожидали, и индивидуальная работа с жертвами оказалась сущим кошмаром.

08.07.2021 Новости
Читайте все свежие новости первыми. Подписывайтесь на нас в Telegram
Том Хантер Том Хантер Pentest Guru

Мистер Том Хантер, вдохновитель нашей компании по обеспечению кибербезопасности

Спасибо

Спасибо, что заполнили форму! Мы свяжемся с вами в ближайшее время по указанным контактным данным!

Обратный звонок

Заполните форму и наш специалист свяжется с вами в ближайшее время.

    Принимаю соглашение об использовании персональных данных