Evil Corp обзавелась новым шифровальщиком и требует у жертв $40 миллионов

Evil Corp обзавелась новым шифровальщиком и требует у жертв $40 миллионов

В новых вымогательских атаках ОПГ Evil Corp замечен неизвестный ранее зловред  — Macaw Locker. Судя по сходству кода, это очередной член семейства шифровальщиков криминальной группы, пытающейся скрыться от зоркого ока властей США путем ребрендинга своего оружия.

На настоящий момент известны лишь две жертвы Macaw Locker: лидер американского рынка телевещания Sinclair Broadcast Group и техногигант Olympus, который еще не вполне оправился от атаки BlackMatter. В одном случае хакеры потребовали за дешифратор $28 млн, в другом — $40 миллионов.

О родстве новобранца с другими шифровальщиками Evil Corp репортер BleepingComputer узнал от эксперта Emsisoft Фабиана Возара (Fabian Wosar). Тот разобрал код Macaw Locker и пришел к выводу, что новый вредонос мало чем отличается от своих предшественников.

К зашифрованным файлам зловред добавляет расширение .macaw и в папках с такими объектами оставляет записку с требованием выкупа (macaw_recover.txt). Для каждой жертвы создается уникальный ID, а на сайте в сети Tor — отдельная страница с чатом для ведения переговоров о выкупе.

По некоторым данным, кибергруппа Evil Corp, она же TA505, Indrik Spider и CHIMBORAZO, объявилась в интернете в 2007 году. Начинала она как рядовой участник чужих партнерских программ, а затем обзавелась собственным зловредом — банкером Dridex.

Это приобретение было столь успешным, что на его основе был создан ботнет, который сдавался в аренду другим распространителям вредоносных программ. С появлением шифровальщиков владельцы Dridex перепрофилировали его для проведения вымогательских операций — стали сами использовать троян в качестве загрузчика таких программ.

Вначале это был Locky, затем в арсенале Evil Corp появились Jaff, Hades, BitPaymer. В 2019 году деятельность энергичной ОПГ привлекла внимание властей США, после этого имена используемых ею зловредов стали сменяться чаще. Из последних творений одиозной группы больше всего шуму наделал WastedLocker; ее также считают ответственной за операции DoppelPaymer и Sidoh.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Хакеры устанавливают бэкдоры в гипервизоры ESXi с помощью VIB-пакетов

При разборе одной из целевых хакерских атак эксперты Mandiant обнаружили несколько неизвестных ранее бэкдоров в гипервизоре VMware ESXi и подконтрольных виртуальных машинах. Как оказалось, для внедрения и сокрытия вредоносных кодов взломщики использовали установочные пакеты vSphere — VIB.

В VIB помимо заархивированной полезной нагрузки входят XML-дескриптор с конфигурационными данными и цифровая подпись. Такие пакеты можно использовать для создания задач автозагрузки, кастомных правил межсетевого экрана, развертывания обновлений и кастомных бинарников при перезапуске ESXi.

Прежде чем принять VIB, хост-система производит верификацию, в ходе которой определяется степень доверия к содержимому. При этом, кроме цифровой подписи, используется пометка в XML-файле: certified («сертифицировано VMware»), accepted (проверено VMware»), partner («создано партнером VMware», минимальный уровень доверия) или community («создано участником сообщества», недоверенный источник).

Проведенный в Mandiant анализ показал, что после входа в сеть и получения доступа к хост-машине хакеры опубликовали свой VIB, выдав его за творение партнера VMware (путем внесения изменений в XML-дескриптор). Поскольку такого трюка недостаточно — ESXi распознает подлог, сверившись с цифровой подписью, (в данном случае она отсутствовала), злоумышленники выставили флаг --force (откат поведения), чтобы обойти это препятствие.

Найденным в гипервизоре имплантам аналитики присвоили имена VirtualPita и VirtualPie. Первый представляет собой 64-битный пассивный бэкдор, который создает службу listener, работающую на заданном порту сервера ESXi. Вредонос, маскирующийся под легитимный сервис VMware, умеет выполнять произвольные команды, загружать и выгружать файлы, а также включать и выключать vmsyslogd.

Бэкдор VirtualPie написан на Python; он запускает прослушку IPv6-адреса на вшитом в код порту и поддерживает выполнение произвольных команд, передачу файлов и обратное подключение. Для коммуникаций зловред использует кастомный протокол и шифрование по RC4.

 

Исследователи также обнаружили два образца VirtualPita, работающих как init-демон в системах Linux vCenter. Оба зловредных бинарника выдавали себя за легитимный ksmd, а для получения команд использовали порт 7475/TCP.

Гостевые Windows на том же узле тоже оказались зараженными — написанный на C вредонос прятался в папке C:\Windows\Temp\avp.exe. Утилита, нареченная VirtualGate, состояла из двух частей — бесфайлового дроппера и полезной нагрузки (DLL), способной выполнять получаемые с гипервизора команды с использованием сокетов VMCI (Virtual Machine Communication Interface).

Разбор киберинцидента не выявил признаков эксплойта какой-либо уязвимости в продуктах VMware, хотя доступ к ESXi требует привилегий админа. В Mandiant полагают, что целью непрошеного вторжения являлся шпионаж, и поставили новую угрозу на контроль как UNC3886, предположительно исходящую из Китая.

Ее появление, по мнению экспертов, вызвано расширением использования систем EDR, позволяющих повысить эффективность детектирования вредоносных программ на Windows-машинах. Злоумышленникам волей-неволей приходится переключаться на мишени, обычно не поддерживающие EDR — устройства для доступа к сети, системы хранения SAN, серверы VMware ESXi.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru