Кибершпионы использовали вымогательское ПО для сокрытия своих действий

Использование вымогательского ПО для сокрытия кибершпионских кампаний – весьма редкая практика.

Киберпреступники использовали вымогательское ПО ONI для сокрытия сложной таргетированной кампании Night of the Devil («Ночь дьявола») с использованием эксплоитов Агентства национальной безопасности США. В течение нескольких месяцев атаки оставались незамеченными, пока однажды злоумышленники не дернули за ниточки и не зашифровали одновременно данные на сотнях компьютеров. Их истинной целью было не получение выкупа, а уничтожение следов своего присутствия.

Кампания была направлена против нескольких организаций в Японии. Проводившие расследование атак эксперты из Cybereason пришли к выводу, что с помощью вымогателя атакующие пытались уничтожить все следы операции и данные об атаках.

Вредонос получил свое название по расширению oni, добавляемому им к зашифрованным файлам и указанному в требовании выкупа электронному адресу. В переводе с японского ONI означает «Ночь дьявола». Как выяснили эксперты, большая часть кода вредоноса была позаимствована у вымогательского ПО GlobeImposter.

ONI уже неоднократно использовался в атаках на японские организации, однако в последней кампании исследователи обнаружили новый вариант – MBR-ONI, оснащенный функционалом буткита. Вымогатель работает на базе легитимного инструмента для шифрования диска DiskCryptor. И ONI, и MBR-ONI попадают на компьютеры жертв через целенаправленные фишинговые письма. Содержащийся в письмах вредоносный документ Office загружает на систему инструмент для удаленного доступа Ammyy Admin.

Попав на атакуемую систему, злоумышленники создавали карту внутренних сетей и собирали учетные данные. Продвигаться по сети им помогал эксплоит АНБ EternalBlue. Скомпрометировав критические активы, в том числе контроллер домена, хакеры получали полный контроль над сетью и могли похищать любую интересующую их информацию.

По завершении операции киберпреступники запускали ONI и MBR-ONI для сокрытия своих следов. ONI отображает на зараженном компьютере записку с требованием выкупа и позволяет расшифровать файлы. Тем не менее, в отличие от него MBR-ONI не предполагает предоставление ключа для дешифровки. Его главное предназначение – уничтожение каких-либо свидетельств шпионской кампании.

Использование вымогательского ПО для сокрытия кибершпионских кампаний – весьма редкая практика. Тем не менее, атаки на японские организации служат примером появления новых тенденций.

Буткит – вредоносное ПО (так называемый MBR-руткит), модифицирующее загрузочный сектор MBR – первого физического сектора на жестком диске.

Кибершпионы использовали вымогательское ПО для сокрытия своих действий
Подписывайтесь на канал «SecurityLab» в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.