F.A.C.C.T., разработчик технологий для борьбы с киберпреступлениями, обнаружил новую преступную группу вымогателей Muliaka. Злоумышленники атакуют российские компании как минимум с декабря 2023 года. В одной из атак для распространения программы-вымогателя в сети жертвы и для ее запуска на хостах Windows атакующие воспользовались популярным корпоративным антивирусом.
В январе 2024 года одна из российских компаний была атакована новой преступной группой вымогателей — в результате у жертвы были зашифрованы Windows-системы и виртуальная инфраструктура VMware ESXi.
Период с момента получения доступа к ИТ инфраструктуре жертвы до начала шифрования данных занял у атакующих около 2 недель. В ходе расследования специалисты F.A.C.C.T. выяснили, что для удаленного доступа к ИТ-инфраструктуре жертвы атакующие использовали VPN-сервис компании, а для перемещения по узлам инфраструктуры службу удаленного управления WinRM (Windows Remote Management).
Специалисты Лаборатории компьютерной криминалистики компании F.A.C.C.T. назвали новую группу Muliaka, использовав в качестве нейминга часть имени аккаунта электронной почты kilamulia@proton.me, которую вымогатели оставляют для связи с жертвой, и южнорусское слово “муляка”, обозначающее грязную мутную воду.
Для распространения своей программы-вымогателя в сети жертвы и для ее запуска на хостах Windows атакующие воспользовались установленным корпоративным антивирусным программным обеспечением. Для удаленного запуска шифровальщика злоумышленники создали инсталляционный пакет (см. рис. 1) и соответствующую задачу. Надо отметить, что при наличии установленного антивируса в ИТ-инфраструктуре жертвы продвинутые атакующие все чаще предпочитают использовать этот продукт для скрытного и эффективного продвижения по сети.
Содержимое инсталляционного пакета с программой-вымогателем.
Рис. 1. Содержимое инсталляционного пакета с программой-вымогателем.
Любопытно, что перед шифрованием злоумышленники запускали на хостах вспомогательный PowerShell-скрипт Update.ps1, который предназначен для остановки и запрета служб баз данных и резервного копирования, удаления точек восстановления и теневых копий томов, он же отключает сетевые адаптеры на хосте, и тем самым, отключает хост от сети. Напомним, что подобную технику ранее использовала группа вымогателей OldGremlin.
Наибольший интерес у криминалистов вызвали стоящие на вооружении у группы Muliaka программы-вымогатели. Например, шифровальщик для Windows был разработан основе утекших в публичный доступ исходных кодов вымогателя Conti 3, однако представляет собой одну из наиболее интересных его модификаций.
Шифрование файлов осуществляется в два прохода. Это сделано для того, чтобы при первом проходе максимально быстро заблокировать данные жертвы, а при втором – максимально усложнить возможность их расшифровки и восстановления без оплаты выкупа.
Образец программы-вымогателя для ESXi на хостах жертвы не удалось найти, он был удален атакующими. Однако полученной информации было достаточно, чтобы найти другие образцы программ-вымогателей для Windows и ESXi. Два месяца назад образец программы-вымогателя для ESXi был загружен на портал VirusTotal и до сих пор не детектируется ни одним антивирусным вендором. Примечательно, что практически все найденные образцы были загружены на портал VirusTotal из Украины.
Скриншот портала VirusTotal с результатами проверки программы-вымогателя для ESXi.
Рис. 2. Скриншот портала VirusTotal с результатами проверки программы-вымогателя для ESXi.
«Специалисты F.A.C.C.T. подключились к расследованию атаки уже на этапе восстановления сотрудниками компании своей ИТ-инфраструктуры. Атакующие использовали VPN жертвы, но являлся ли он начальным доступом, на данный момент точно не установлено. Нельзя исключать использование в качестве начального вектора уязвимостей в публичных приложениях и фишинг. По нашим данным, группа активна как минимум с декабря 2023 года и ее жертвами являются исключительно российские компании. Действия атакующих можно характеризовать как достаточно квалифицированные, после себя они оставляют минимальное количество следов».
Антон Величко, Руководитель Лаборатории компьютерной криминалистики F.A.C.C.T.
Все технические подробности исследованной атаки, а также инструменты группы Muliaka и других самых активных в России вымогателей подробно описаны в новом блоге компании F.A.C.C.T. Отметим, что криминалисты запустили гитхаб, посвященный программам-вымогателям. Следите за обновлениями!
Источник: habr.com