Спецпроекты

Безопасность Техника

Новый шифровальщик использует антивирусы, чтобы взломать защиту системы

Kasseika, вредонос, который мог быть разработан членами группировки BlackMatter, использует уязвимый драйвер итальянского антивируса, чтобы избавиться от других антивирусов, и требует колоссальный выкуп.

Клин клином

Новый шифровальщик Kasseika использует драйверы антивируса, чтобы отключать любые другие антивирусы в атакованной системе. Как отмечается в публикации издания Bleeping Computer, Kasseika использует драйвер Martini.sys/viragt64.sys, входящий в состав итальянской защитной системы TG Sot VirtIT Agent System.

Как утверждают исследователи Trend Micro, первыми обнаружившие и изучившие Kasseika, код нового шифровальщика содержит много совпадений с шифровальщиком BlackMatter (в публикации Trend Micro он обозначен как Darkmatter, но это, по-видимому, различные название одного и того же вредоноса).

Операторы BlackMatter в конце 2021 г. объявили, что сворачивают свою деятельность, как было написано на сайте злоумышленников, «В связи с определенными нерешаемыми обстоятельствами связанными с давлением властей» (запись была сделана на русском, орфография и пунктуация оригинала сохранены).

haker_kandinsky_700.jpg
Фото: Kandinsky
Хакеры потребовали 50 биткоинов выкупа за зашифрованную информацию

Исходники BlackMatter не публиковались, поэтому велика вероятность, что создатели Kasseika - это либо бывшие члены той же группировки, либо какие-то другие знатоки вредоносов, купившие этот код в конфиденциальном порядке.

Атаки Kasseika начинаются традиционно - с фишинговых писем, отправляемых работникам целевой организации. Тем самым злоумышленники пытаются выкрасть реквизиты доступа; эти реквизиты используются затем для первичного доступа в корпоративную сеть.

Затем, с помощью инструмента PsExec во всех системах, куда хакеры смогли пролезть, запускаются вредоносные .bat-файлы.

С помощью этих файлов производится проверка, присутствует ли в системе процесс Martini.exe, и если такой находится, останавливает его. Затем в систему закачивается уязвимый драйвер Martini.sys. Его присутствие играет ключевую роль: Kasseika прекращает работу, если этому драйверу не удаётся создать новый процесс.

Используя уязвимость в драйвере, вредонос добивается повышенных системных привилегий, благодаря чему получает возможность остановить любые из 991 процессов из содержащегося в коде списка. Эти процессы связаны с инструментами безопасности, анализа и с системными утилитами.

Отключаются также процессы антивирусов, после чего запускается основной двоичный файл smartscreen_protected.exe и скрипт clear.bat, устраняющий следы атаки.

50 биткоинов за решение созданной нами проблемы

Файл smartscreen_protected.exe - это основное тело шифровальщика: после запуска происходит шифрование всех значимых файлов в пределах досягаемости, причём с помощью сразу двух алгоритмов - ChaCha20 и RSA. Аналогично BlackMatter, к названиям зашифрованных файлов приделываются псевдослучайная последовательность символов, а в каждый каталог - загружается текстовый файл с требованием выкупа. Его содержанием также подменяются системные обои рабочего стола.

По окончании процесса Kasseika удаляет все системные логи.

Специалисты Trend Micro отмечают, что злоумышленники требуют заплатить сразу 50 биткоинов - т.е. $2 млн - в течение 72 часов, добавляя сверху $500 тыс. за каждые сутки без ответа. Максимальный срок ожидания - 120 часов. После этого декриптор удаляется.

«Даже для крупных фирм 2 млн долларов - довольно серьёзная сумма, - полагает технический директор компании SEQ Алексей Водясов. По его словам, жертвы много раз подумают, платить или не платить, а в некоторых случаях, однако, потеря значимых данных может обойтись дороже, так что нельзя исключать, что некоторые жертвы согласятся на выплату выкупа. «Предотвратить пожар всегда выходит дешевле, чем устранять его последствия», - развивает мысль Алексей Водясов. Он говорит, что защититься от ущерба, наносимого шифровальщиками, сравнительно просто: как минимум, требуются резервные копии данных на изолированных от сети носителях и технические противофишинговые средства и системы обнаружения подозрительных событий. «Кроме этого, существуют специальные средства защиты от шифровальщиков - антилокеры. Но все эти инструменты требуют отдельных инвестиций, и, судя по регулярности инцидентов, слишком многие предпочитают экономить на защите», - подытожил Алексей Водясов.

Скриншот с доказательством произведенного платежа злоумышленники требуют опубликовать в приватной группе в Telegram.

Роман Георгиев

Короткая ссылка