Деструктивные атаки, или Для чего группа Key Wolf распространяет шифровальщиков
В рамках киберинцидента использовалось два вида вредоносных файлов. Они имели имена Информирование зарегистрированных.exe и Информирование зарегистрированных.hta и, предположительно, распространялись через электронную почту.
В первом случае файл представляет собой самораспаковывающийся архив, который содержит два файла — gUBmQx.exe и LICENSE.
Во втором случае файл gUBmQx.exe загружается с файлового обменника Zippyshare с использованием BITS (Background Intelligent Transfer Service).
Файл представляет собой программу-вымогателя Key Group, которая создана на основе другой вредоносной программы — Chaos. Информация о семействе программ-вымогателей Chaos впервые появилась на одном из популярных теневых форумов в июне 2021 года. Пользователь ryukRans опубликовал сообщение, в котором рассказал, что занимается разработкой программы-вымогателя, и даже разместил ссылку на GitHub (рис. 1).
Рис. 1. Сообщение на теневом форуме в теме Chaos Ransomware Builder
За год было выпущено несколько версий билдера данной вредоносной программы, а уже в июне 2022 года была анонсирована так называемая партнерская программа, в контексте которой к сотрудничеству приглашались специалисты по тестированию на проникновение для организации атак на корпоративные сети (рис. 2).
Рис. 2. Сообщение на теневом форуме в теме Chaos Ransomware Builder
Стоит отметить, что программа-вымогатель Key Group была создана с помощью билдера Chaos версии 4.0.
После запуска Key Group осуществляет следующие действия:
- Проверяет, есть ли в списке процессов процесс с таким же именем. Если есть, останавливает свою работу.
- Если в конфигурации поле
checkSleepявляетсяtrue, то, если директория запуска не является%APPDATA%, ожидаетsleepTextboxсекунд. - Если в конфигурации поле
checkAdminPrivilageявляетсяtrue, копирует себя в%APPDATA%и запускает от имени администратора, используяrunas. Если операция отклонена пользователем (UAC), то функция запускается заново. Если названия совпадают и программа была запущена из%APPDATA%, функция ничего не делает (таким образом, нет бесконечной рекурсии при запуске). - Если в конфигурации поле
checkAdminPrivilageявляетсяfalse, ноcheckCopyRoamingявляетсяtrue, делает то же самое, что и приcheckAdminPrivilage, но не повышает права с помощьюrunas. - Если в конфигурации поле
checkStartupFolderявляетсяtrue, то создает в%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startupинтернет-ссылку на вредоносный файл, что позволяет обеспечить ему автозагрузку. - Если
checkAdminPrivilageявляетсяtrue, то:- Если
checkdeleteShadowCopies, удаляет теневые копии с помощью командыvssadmin delete shadows /all /quiet & wmic shadowcopy delete. - Если
checkDisableRecoveryMode, выключает режим восстановления с помощью командыbcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no. - Если
checkdeleteBackupCatalog, удаляет все резервные копии с помощью командыwbadmin delete catalog -quiet.
- Если
- Если в конфигурации поле
checkSpreadявляетсяtrue, то копирует себя на все диски, кроме C, с именем файла, которое задается в конфигурацииspreadName(в данном случаеsurprise.exe). - Создает записку в
%APPDATA%\\\<droppedMessageTextbox\>и открывает ее. Записка содержит следующий текст: We are the keygroup777 ransomware we decided to help Ukraine destroy Russian computers, you can help us and transfer money to a bitcoin wallet <redacted>. - Ставит на фон рабочего стола картинку, представленную ниже (рис. 3).
Рис. 3. Фон рабочего стола
- Рекурсивно шифрует каждый диск, кроме C, а также следующие папки:
%USERPROFILE%\\Desktop%USERPROFILE%\\Links%USERPROFILE%\\Contacts%USERPROFILE%\\Desktop%USERPROFILE%\\Documents%USERPROFILE%\\Downloads%USERPROFILE%\\Pictures%USERPROFILE%\\Music%USERPROFILE%\\OneDrive%USERPROFILE%\\Saved Games%USERPROFILE%\\Favourites%USERPROFILE%\\Searches%USERPROFILE%\\Videos%APPDATA%%PUBLIC%\\Documents%PUBLIC%\\Pictures%PUBLIC%\\Music%PUBLIC%\\Videos%PUBLIC%\\Desktop
Для каждого файла в директории проверяется, имеет ли он одно из корректных расширений и не является ли запиской. Далее работа зависит от размера файла:
- Размер файла меньше 2 117 152 байт. Тогда содержимое файла шифруется с помощью AES256‑CBC. Ключ и IV генерируются с помощью функции
Rfc2898DeriveBytesс неким паролем и солью[1, 2, 3, 4, 5, 6, 7, 8]. Пароль, в свою очередь, имеет размер 20 байт, имеет чарсетabcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890*!=&?&/и генерируется с помощью стандартной функцииRandom(). После шифрования в файл записывается пароль в XML‑теге<EncryptedKey>, который зашифрован RSA1024‑OAEP и закодирован в Base64, после чего идет сам зашифрованный файл, закодированный в Base64. - Размер файла больше или равен 2 117 152 байтам, но меньше или равен 200 000 000 байт. Размер файла делится на 4, и генерируется столько же случайных байт. Они помещаются в файл в таком же формате, как в первом случае, со случайным зашифрованным паролем, делая файл теоретически невосстанавливаемым.
- Размер файла больше 200 000 000 байт. Генерируется случайное число байтов в промежутке от 200 000 000 до 300 000 000 и помещается в файл в таком же формате, как в первом случае, со случайным зашифрованным паролем, делая файл теоретически невосстанавливаемым.
Если в директории есть поддиректории, для каждой из них выполняется такая же операция.
Также программа-вымогатель имеет дополнительную функциональность: она проверяет, находится ли в буфере обмена bitcoin-адрес, и подменяет его на один из принадлежащих злоумышленникам.
Индикаторы компрометации и детектирующие правила доступны клиентам BI.ZONE Threat Intelligence.
Программы‑вымогатели обычно распространяются через почту. Предотвратить атаки с их участием помогут специализированные решения, которые не позволят вредоносному письму достичь почтового ящика пользователя.
Одно из таких решений — сервис BI.ZONE CESP. Он избавляет компании от проблемы нелегитимных писем, инспектируя каждое электронное сообщение. При этом используется более 600 механизмов фильтрации, реализованных на основе машинного обучения, статистического, сигнатурного и эвристического анализа. Такая проверка не задерживает доставку безопасных писем.