Проукраинские хакеры воспользовались неустранимой уязвимостью Windows

Яков Шпунт 26 Августа 2024 - 14:37

...

Инцидент произошел еще в мае 2024 г. Его расследование показало, что, обойдя защиту, киберпреступники смогли зашифровать ряд корпоративных систем и частично разрушили серверы виртуализации, нанеся колоссальный ущерб компании.

Злоумышленники воспользовались недостатком систем Windows, связанным со взаимодействием с цифровыми подписями драйверов.

Злоумышленники проникли в сеть промышленной компании через взломанную учетную запись подрядчика. С хоста подрядчика по удаленному рабочему столу (RDP) они получили доступ к ряду систем. Но, прежде чем совершать деструктивные действия, хакеры смогли отключить защитные системы, чтобы их действия невозможно было обнаружить и заблокировать.

Злоумышленники воспользовались тем, что Microsoft сделала исключения при реализации запущенной в 2022 г политики обязательной цифровой подписи драйверов. Процедура обязательной проверки не работала для драйверов, выпущенных до определенной даты (29 июня 2015 г.). Нападавшие «состарили» сертификат одного из производителей электроники, что позволило обойти требования системы.

В процессе исследования атакованных серверов компании эксперты Solar 4RAYS обнаружили два образца вредоносной программы, один из которых искал в системе признаки присутствия защитного решения, а другой — отключал его командой из режима ядра. По итогам расследования все вредоносы были удалены из инфраструктуры, а компания получила рекомендации о дальнейших действиях по закрытию уязвимостей, которыми воспользовались хакеры.

«Подобная техника позволяет киберпреступникам отключить вообще любой софт (а не только антивирусное ПО) и беспрепятственно развить атаку в целевой инфраструктуре. Раньше подобные атаки практиковали в основном киберпреступные группировки из азиатского региона, но теперь мы видим ее активное распространение и среди других злоумышленников. Но если азиатские хакеры в основном собирали данные, не разрушая инфраструктуру, то злоумышленники из Восточной Европы часто нацелены на деструктив, что усугубляет угрозу. Для того, чтобы вовремя «отловить» подобную атаку, нужно регулярно проверять работоспособность установленных в инфраструктуре защитных решений. Если с какого-то ПО не идет телеметрия — это очевидный повод его проверить. Кроме того, важно периодически проводить оценку компрометации. Такая проверка повышает шансы выявить атаку до наступления серьезных последствий», — сказал Иван Сюхин, руководитель группы расследований инцидентов Solar 4RAYS ГК «Солар».

Напомним, в прошлом году мы анализировали, как взлом сертификационного центра Microsoft поставили на поток.

Следующая главная новость »

Российская инфраструктура виртуальных рабочих столов: ошибки внедрения и перспективы на 2026 год. Обсудим в эфире AM Live. Регистрируйтесь »

Екатерина Быстрова 12 Декабря 2025 - 09:12

Вирусы-вымогатели Вирусы-шифровальщики Целевые атаки Таргетированные атаки Корпорации Государство

VolkLocker: новый шифровальщик хранит ключи в виде простого текста

Хактивистская группировка CyberVolk, которую на Западе связывают с пророссийской сценой, снова объявилась после нескольких месяцев тишины — и не просто так, а с собственной программой-вымогателем. Вредонос явно недоработали, поскольку он хранит ключи в виде простого текста.

Летом CyberVolk запустила обновлённую версию своего шифровальщика CyberVolk 2.x, он же VolkLocker. Вся его инфраструктура находится целиком в Telegram. И такой подход делает жизнь киберпреступников проще.

Через мессенджер CyberVolk может:

генерировать сборки шифровальщика,
управлять атаками,
вести учёт жертв,
отправлять сообщения пострадавшим,
заниматься всей «бизнес-логикой» — не выходя из Telegram.

Фактически, даже минимальные технические навыки больше не нужны: Telegram-боты и автоматизация делают всю грязную работу.

При всей этой «продвинутости» разработчики VolkLocker допустили почти анекдотическую ошибку. Как выяснил старший исследователь SentinelOne Джим Уолтер, мастер-ключи шифрования оказались жёстко прописаны прямо в исполняемых файлах.

Речь идёт об одном и том же ключе, которым шифруются все файлы в системе жертвы. Более того, зловред ещё и сохраняет открытый текстовый файл с этим ключом во временной директории %TEMP%.

По словам Уолтера, это, скорее всего, «тестовый артефакт, случайно попавший в боевые сборки». Проще говоря, разработчики забыли вычистить отладочный код. В результате у жертв появляется реальный шанс восстановить данные без уплаты выкупа.

Группировку CyberVolk впервые подробно описали ещё в прошлом году. В отличие от таких известных коллективов, как CyberArmyofRussia_Reborn или NoName057(16), которых власти США напрямую связывают с Кремлём, у CyberVolk нет явных следов прямого государственного кураторства.

Есть и ещё одно отличие: если большинство идеологически мотивированных групп ограничиваются DDoS-атаками «для шума», CyberVolk делает ставку именно на шифровальщики.

Большую часть 2025 года группировка провела в тени — Telegram несколько раз банил их каналы и ботов. Но уже в августе CyberVolk вернулась с новым RaaS-предложением.

Что умеет VolkLocker: