Українські організації постраждали від шкідливого програмного забезпечення – розслідування Microsoft

13 січня 2022 року в системах сайтів українських міністерств та держструктур з’явилися програми-вимагачі. Представники Microsoft Threat Intelligence Center (MSTIC) виявили докази шкідливої операції, яка завадила роботі більш ніж 70 організацій в Україні.

Microsoft обізнана про ситуацію, що відбувається в Україні та прилеглих територіях, тому закликає організації використовувати інформацію, яка міститься в цій статті, щоб захистити себе від будь-якої шкідливої діяльності.

Розслідування причин кібератак на українські державні сайти продовжується. На даний момент MSTIC не виявив жодних взаємозв’язків між цією шкідливою активністю, позначеною як DEV-0586, та іншими відомими групами атак.

MSTIC зазначає, що шкідливе ПЗ, яке виглядає як програма-вимагач, не має механізму стягнення викупу і не виконує основної функції – отримання грошової компенсації за відновлення доступу до даних. Водночас дії такого ПЗ призводять до непрацездатності пристроїв та систем.

Наразі слідчі групи Microsoft виявили шкідливе програмне забезпечення на десятках уражених систем, і це число може зростати поки триває розслідування. Ці системи охоплюють кілька державних, некомерційних організацій та організації, що займаються інформаційними технологіями. Усі вони розташовані на території України.

Наразі невідомо, чи є інші постраждалі компанії в Україні чи світі. Однак малоймовірно, що порушення в цих системах відображають масштаб атаки.

На даний момент MSTIC не може оцінити мету даних деструктивних дій, але вважає, що вони становлять підвищений ризик для будь-якої державної установи, некомерційної організації чи підприємства, яке перебуває чи веде діяльність в Україні.

MSTIC рекомендує всім організаціям негайно провести ретельне розслідування та активувати власну систему безпеки, взявши до уваги інформацію із цієї статті.

Microsoft відкрито надає дані, необхідні для проведення розслідувань кожному, хто постраждав або міг постраждати від руйнівних дій програм.

MSTIC також активно працює з членами глобального співтовариства безпеки та іншими стратегічними партнерами та обмінюється інформацією, яка може протистояти цій загрозі.

Microsoft використовує позначення DEV-#### як тимчасове ім’я, присвоєне невідомому кластеру загроз, що нещодавно з’явилися та почали розвиватися. Це дозволяє MSTIC відслідковувати його як унікальний набір інформації. Як тільки вдасться ідентифікувати загрозу за конкретними критеріями, їй привласнять окреме ім’я або віднесуть до вже відомих груп.

Кібератаки в Україні: розслідування ситуації

13 січня 2022 року Microsoft помітила активність, яка могла призвести до видалення завантажувальних записів (MBR). У ході розслідування вдалося з’ясувати, що цю здатність має шкідливе програмне забезпечення, яке застосовувалося для проведення атак на українські організації.

Етап 1: Заміна основного завантажувального запису та виведення фальшивої записки щодо викупу.

Шкідливе програмне забезпечення знаходиться в різних робочих каталогах, включаючи C:\PerfLogs, C:\ProgramData, C:\ і C:\temp, і часто називається stage1.exe. У атаках, що спостерігаються, шкідливе ПЗ запускається через Impacket — загальнодоступну можливість, що часто використовується зловмисниками для бокового переміщення і виконання.

Двоетапне шкідливе ПЗ перезаписує основний завантажувальний запис (MBR) в системах, що атакуються, з приміткою про викуп (етап 1).

MBR – це частина жорсткого диска, яка повідомляє комп’ютер, як завантажувати операційну систему. Записка про викуп містить біткойн-гаманець та ідентифікатор Tox (унікальний ідентифікатор облікового запису, що використовується в протоколі обміну зашифрованими повідомленнями Tox), які раніше не спостерігалися MSTIC:

Your hard drive has been corrupted.

In case you want to recover all hard drives

of your organization,

You should pay us $10k via bitcoin wallet

1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv and send message via

tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65

with your organization name.

We will contact you to give further instructions.

Шкідлива програма запускається, коли відповідний пристрій вимкнено. Перезапис MBR нетиповий для кіберзлочиних програм-вимагачів. Насправді повідомлення про програму-вимагач є хитрощами, як і той факт, що шкідлива програма знищує MBR і вміст файлів, на які вона націлена.

Є кілька причин, з яких ця активність несумісна з кіберзлочиною активністю програм-здирників, що спостерігається MSTIC раніше:

  1. Повідомлення, які виводяться на екран після активації програм-вимагачів, зазвичай налаштовуються під кожну конкретну жертву. У випадку з українською кібератакою одна й та сама інформація про викуп спостерігалася у кількох жертв.
  2. Практично всі програми-вимагачі шифрують вміст файлів у файловій системі. У цьому випадку шкідлива програма перезаписує MBR без відновлення.
  3. Конкретні суми платежів та адресе крипто валютних гаманців рідко вказуються у сучасних записках про викуп, але були зазначені у DEV-0586. Одна і та ж адреса біткоїн-гаманця спостерігалася у всіх вторгненнях DEV-0586, і на момент аналізу єдиною активністю був невеликий переклад 14 січня.
  4. Iдентифікатор Tox ID з протоколом обміну зашифрованими повідомленнями Tox рідко використовується як метод зв’язку. Як правило, існують веб-сайти з форумами підтримки або декількома способами зв’язку (включно з електронною поштою), щоб жертва могла легко встановити контакт.
  5. Більшість нотаток про злочинний викуп включають ідентифікатор користувача, завдяки якому у своїх повідомленнях жертва отримує вказівку надіслати зловмисникам гроші. Це важлива частина процесу, коли ідентифікатор користувача зіставляється на сервері операції програми-вимагача з ключем дешифрування для конкретної жертви. У цьому випадку примітка про викуп не включала ідентифікатор користувача.
  6. Microsoft продовжує відстежувати активність DEV-0586 та впроваджувати засоби захисту для наших клієнтів. Поточні виявлення, розширені виявлення та IOC, які використовуються у наших продуктах безпеки, докладно описані нижче.

Етап 2. Активація шкідливого програмного забезпечення для руйнування файлів

Stage2.exe – це завантажувач шкідливої ​​програми для пошкодження файлів. Після виконання stage2.exe завантажує шкідливе програмне забезпечення наступного етапу, розміщене на каналі Discord, з посиланням для скачування, жорстко закодованої в завантажувачі.

Шкідливе програмне забезпечення наступного етапу найкраще можна описати як шкідливе засіб для руйнування файлів. Після виконання в пам’яті засіб пошкодження знаходить файли у певних каталогах системи з одним із наступних жорстко заданих розширень файлів:

3DM .3DS .7Z .ACCDB .AI .ARC .ASC .ASM .ASP .ASPX .BACKUP .BAK .BAT .BMP .BRD .BZ .BZ2 .CGM .CLASS .CMD .CONFIG .CPP .CRT .CS .CSR .CSV .DB .DBF .DCH .DER .DIF .DIP .DJVU.SH .DOC .DOCB .DOCM .DOCX .DOT .DOTM .DOTX .DWG .EDB .EML .FRM .GIF .GO .GZ .HDD .HTM .HTML .HWP .IBD .INC .INI .ISO .JAR .JAVA .JPEG .JPG .JS .JSP .KDBX .KEY .LAY .LAY6 .LDF .LOG .MAX .MDB .MDF .MML .MSG .MYD .MYI .NEF .NVRAM .ODB .ODG .ODP .ODS .ODT .OGG .ONETOC2 .OST .OTG .OTP .OTS .OTT .P12 .PAQ .PAS .PDF .PEM .PFX .PHP .PHP3 .PHP4 .PHP5 .PHP6 .PHP7 .PHPS .PHTML .PL .PNG .POT .POTM .POTX .PPAM .PPK .PPS .PPSM .PPSX .PPT .PPTM .PPTX .PS1 .PSD .PST .PY .RAR .RAW .RB .RTF .SAV .SCH .SHTML .SLDM .SLDX .SLK .SLN .SNT .SQ3 .SQL .SQLITE3 .SQLITEDB .STC .STD .STI .STW .SUO .SVG .SXC .SXD .SXI .SXM .SXW .TAR .TBK .TGZ .TIF .TIFF .TXT .UOP .UOT .VB .VBS .VCD .VDI .VHD .VMDK .VMEM .VMSD .VMSN .VMSS .VMTM .VMTX .VMX .VMXF .VSD .VSDX .VSWP .WAR .WB2 .WK1 .WKS .XHTML .XLC .XLM .XLS .XLSB .XLSM .XLSX .XLT .XLTM .XLTX .XLW .YML .ZIP

Якщо файл має одне з перерахованих вище розширень, засіб пошкодження перезаписує вміст файлу фіксованим числом байтів 0xCC (загальний розмір файлу 1 МБ). Після перезапису вмісту деструктор перейменовує кожен файл із, здавалося б, випадковим чотирибайтним розширенням. Аналіз цієї шкідливої ​​програми продовжується.

Як захиститися від кібератак: рекомендації Microsoft для клієнтів

MSTIC та групи безпеки Microsoft працюють над створенням та впровадженням засобів виявлення для цієї активності. На сьогоднішній день корпорація Майкрософт запровадила засоби захисту для виявлення цього сімейства шкідливих програм, таких як WhisperGate (наприклад, DoS:Win32/WhisperGate.A!dha) за допомогою антивірусної програми Microsoft Defender та Microsoft Defender для кінцевої точки, де б вони не були розгорнуті. – локально або у хмарному середовищі.

Ми слідкуємо за розслідуванням і, у міру отримання додаткової інформації, будемо ділитися важливими новинами з постраждалими клієнтами, а також партнерами з державного та приватного секторів.

Наслідки від атак шкідливими програмами, згаданими в цій статті, можна звести до мінімуму, якщо взяти до уваги заходи безпеки, наведені нижче:

  1. Використовуйте увімкнені індикатори компрометації, щоб з’ясувати, чи існують вони у вашому середовищі, та оцінити потенційне вторгнення.
  2. Перегляньте всі дії з перевірки автентичності для інфраструктури віддаленого доступу, приділивши особливу увагу обліковим записам, налаштованим з однофакторною автентифікацією
  3. Увімкніть багатофакторну автентифікацію (MFA), щоб закрити доступ до потенційно скомпрометованих облікових даних та переконатися, що MFA застосовується для всіх віддалених підключень.

ПРИМІТКА. Корпорація Майкрософт рекомендує всім клієнтам завантажувати та використовувати рішення без пароля, такі як Microsoft Authenticator, для захисту облікових записів.

  1. Увімкніть керований доступ до папок (CFA) у Microsoft Defender для кінцевої точки, щоб запобігти зміні MBR/VBR.

Індикатори компрометації (IOC)

У цьому списку представлені IOC, виявлені під час дослідження MSTIC. Ми рекомендуємо клієнтам вивчити ці індикатори у своїх середовищах та впровадити засоби розпізнання та захисту, щоб виявити перші ознаки вторгнення програм-вимагачів такого типу та запобігти майбутнім атакам на свої системи.

Індикатор  Тип  Опис 
a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92 SHA-256  Хеш деструктивного шкідливого ПЗ stage1.exe 
dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78 SHA-256  Хеш stage2.exe 
    Command line 

Приклад командного рядка Impacket, який показує виконання деструктивного шкідливого ПЗ. Робочий каталог змінювався залежно від спостережуваних вторгнень. 

Українські підприємства можуть посилити рівень безпеки за допомогою сервісів Microsoft Security.

Як убезпечити компанію від кібератак знають консультанти SMART business, яка є партнером Microsoft уже понад 13 років.

Якщо виникли питання щодо розширення комплексу безпеки або потрібна професійна порада, наші спеціалісти готові допомогти: info@smart.com

Стаття підготовлена за матеріалами компанії «Microsoft». 

Posted in: