Спецпроекты

Хитрый троян научился перезагружать Windows, чтобы избежать антивирусов

ПО Безопасность Бизнес

Шифровальщик Snatch крадет важные данные из корпоративных систем, переводит машины под Windows в SafeMode и производит шифрование файлов. Злоумышленники ищут себе в помощь «партнёров» с доступом внутрь корпоративных сетей.

Подальше от антивирусов

Эксперты по безопасности компании Sophos обнаружили новый шифровальщик, который использует грубый, но действенный способ обхода всех защитных средств Windows. Он перезагружает операционную систему в безопасный режим (Safe Mode). В этом режиме большая часть средств защиты автоматически деактивируется. Snatch же вписывает себя в систему в качестве службы, которая продолжает работать и в этом режиме. И именно в Safe Mode производится шифрование.

Рассматриваемый вредонос, впервые появившийся на радарах специалистов по информбезопасности в конце 2018 г., может успешно атаковать большую часть пользовательских разновидностей Windows версий с 7 до 10 — и 32-битных, и 64-битных. На других платформах он не работает.

Перезагрузка в безопасный режим — это новая для Snatch функция. При этом, помимо шифрования файлов, он способен красть данные.

Пресс-служба Microsoft прокомментировала ситуацию кратко. «Windows Defender обнаруживает угрозу Snatch и защищает от нее, — отметили собеседники CNews. — Мы рекомендуем заказчикам использовать Windows 10 со включенными автоматическими обновлениями».

Русский след

Есть основания полагать, что Snatch написан русскоязычными программистами. Эксперты Sophos отметили, что на киберкриминальных форумах распространяются сообщения от так называемой SnatchTeam о поиске «адвертов (партнеров) с доступами RDP\VNC\TeamViewer\WebShell\SQLinj к корпоративным сетям, шопам и прочим компаниям». Объявление написано на русском. Тот же пользователь потом отвечает кому-то на посредственном английском, что с англоязычными пользователями SnatchTeam не работает.

windows600.jpg
Русскоязычный вредонос шифрует файлы в безопасном режиме Windows

В Sophos предполагают, что Snatch Team применяет модель «активной автоматизированной атаки», используя автоматизированный брутфорс против уязвимых служб внутри корпоративных сетей, а затем вручную осваивают сеть и закрепляются в ней — с последующей атакой на избранные машины. Размеры выкупа составляют от 12 до $35 тыс. в биткоинах, и в последнее время требуемая сумма растет.

Одни и те же инструменты

Экспертам Sophos удалось получить системные логи из сети, которую SnatchTeam атаковали, но данные в которой не смогли зашифровать.

Злоумышленники сначала получили с помощью брутфорса пароль к административному аккаунту на сервере под управлением MicrosoftAzure, а затем использовали это для дальнейшего проникновения в доменный контроллер в той же сети и в течение нескольких недель мониторили сеть. Экспертам Sophos удалось обнаружить ПО для слежки на 200 машинах сети (то есть, примерно на 5% машин в организации).

Кроме всего прочего, на машинах обнаружились такие инструменты как Process Hacker, IObit Uninstaller, PowerTool и PsExec. Это легитимные продукты, однако злоумышленники использовали их в своих целях — обычно для отключения антивирусной защиты. PsExec, впрочем, использовался для запуска шифровального компонента.

«Последующая охота» за теми же файлами, что применялись в исследуемой Sophos атаке, позволила обнаружить несколько других нападений, в которых использовался ровно тот же самый набор инструментов. Пострадали организации в США, Канаде, нескольких европейских странах. Как потом выяснилось, в сетях всех этих компаний, где обнаруживались данные файлы, имелись машины с RDP-доступом извне.

На ручном управлении

Интересно, что злоумышленники, по-видимому, активно мониторят системы, на которых функционируют их инструменты. Один из аналитиков Sophos в процессе работы с вредоносом на «тестовом стенде» впрямую столкнулся с «ручным» противодействием операторов Snatch.

Эксперты Sophos настоятельно рекомендуют не «оставлять окна открытыми» — то есть, убедиться, что машины внутри корпоративной сети не имеют RDP-выхода в интернет или использовать VPN для защиты от несанкционированного доступа. Любые другие службы, которые могут быть использованы для вторжения извне, также должны быть перекрыты, а административные аккаунты должны быть снабжены многофакторной авторизацией.

«Атаки шифровальщиком производились только спустя несколько дней или даже недель после первичного вторжения, — отмечает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — И при условии, что присутствие злоумышленников никак не выявлено. Эффективные SIEM-системы по идее должны позволить такое вторжение обнаружить. Но и их наличие не отменяет необходимости, во-первых, держать под постоянным контролем любые соединения, позволяющие подключаться к корпоративной сети извне, а во-вторых, постоянно производить резервное копирование данных. В конечном счете, резервные копии — единственное действительно эффективное средство противодействовать атакам шифровальщиков».