Эволюция рансомвари
Только недавно писал про первую в истории supply chain атаку, а тут вот: вечером в пятницу 2 июля группировка REvil одним махом зашифровала файлы сотен американских компаний. Объединяет всех жертв только то, что они были клиентами Kaseya VSA, провайдера софта для мониторинга ИТ-инфраструктуры. У пострадавших вымогают за расшифровку данных от $45000 до $5 миллионов в XMR.
Считаю, довольно занятно, что хакеры вообще прибегнули к рансомвари, получив такие доступы. Кажется, задели только тех, кто использовал продукты Kaseya локально, а не в облаке.
Механика такая: Kaseya кладёт через автоапдейт в c:kworking файл agent.crt, подписанный как некий хотфикс. Сразу проходит PowerShell-команда, которая через стандартную certutil.exe обрабатывает файл и кладёт в ту же папку agent.exe. Agent.exe, в свою очередь, прогоняет MsMpEng.exe и mpsvc.dll. Второй файлик — это вот, собственно, и есть шифровщик Revil. А первый — старая версия Microsoft Defender, через которую этот dll запускается и радостно всё шифрует.
Забавный (ну, насколько возможно) бонус: в конфигурацию и ключи реестра хакеры-шутники закидывают политоту. Например, некоторые версии вируса загружаются в безопасном режиме, поставив паролем по умолчанию DTrump4ever. А другие варианты добавляют в реестр ключ HKLMSOFTWAREWow6432NodeBlackLivesMatter.
В понедельник стал известен примерный маштаб атаки — больше тысячи компаний из как минимум 17 стран, в основном США и Германии. Президент США Байден сообщил о федеральном расследовании атаки и упомянул, что рассматривается вариант с её российскими корнями.
Хакеры сообщили на своём сайте, что готовы опубликовать там же универсальный декриптор, если кто-то пожелает заплатить им за это 70 миллионов долларов в биткоинах. По нынешнему курсу это чуть больше 2 тысяч BTC. Похоже, атака вышла масштабнее, чем взломщики ожидали, и индивидуальная работа с жертвами оказалась сущим кошмаром.