Злоумышленники сканируют программное обеспечение PoS, используя Cobalt Strike; "Symantec-enterprise-blogs"

[Quick Loan]

Исследователи Symantec, подразделения Broadcom (NASDAQ: AVGO), заметили целевую кампанию вымогателей Sodinokibi, в ходе которой злоумышленники также сканируют сети некоторых жертв в поисках программного обеспечения для кредитных карт или точек продаж (PoS).

Неясно, нацелены ли злоумышленники на это программное обеспечение для шифрования или потому, что они хотят очистить эту информацию, чтобы заработать еще больше денег на этой атаке.

Злоумышленники используют серийное вредоносное ПО Cobalt Strike для доставки жертвам целевого вымогателя Sodinokibi. В восьми организациях было установлено массовое вредоносное ПО Cobalt Strike, при этом три жертвы впоследствии были заражены вымогателем Sodinokibi. Жертвы, зараженные Sodinokibi, были в сфере услуг, питания и здравоохранения. Компании, на которые нацелена эта кампания, были в первую очередь крупными, даже транснациональными, компаниями, которые, вероятно, стали мишенью, потому что злоумышленники полагали, что они будут готовы заплатить крупный выкуп за восстановление доступа к своим системам.

Злоумышленники стремятся заработать много денег - для жертв, зараженных Sodinokibi, запрошенный выкуп составляет 50 000 долларов в криптовалюте Monero при оплате в течение первых трех часов и 100 000 долларов после этого.

Тактика, инструменты и процедуры
Злоумышленники используют законные инструменты в этих атаках, и в какой-то момент мы наблюдали законный клиентский инструмент удаленного администрирования от NetSupport Ltd, который использовался для установки компонентов во время этих атак. В апреле исследователи угроз Symantec обнаружили доказательства того, что злоумышленники Sodinokibi использовали аналогичную тактику, когда они заметили, что они использовали копию инструмента удаленного доступа AnyDesk для доставки вредоносных программ и других инструментов как минимум в двух атаках.

Злоумышленники в этой кампании также используют «законную» инфраструктуру для хранения своей полезной нагрузки и для своего сервера управления и контроля (C&C). Злоумышленники используют службу хостинга кода Pastebin для размещения своей полезной нагрузки (вредоносное ПО Cobalt Strike и Sodinokibi) и используют службу Amazon CloudFront для своей инфраструктуры управления и контроля для связи с машинами жертвы.

Pastebin и CloudFront являются законными сервисами, но в прошлом они использовались злоумышленниками для аналогичных злонамеренных действий. Преимущество использования злоумышленниками законных сервисов для размещения полезной нагрузки и для своей инфраструктуры управления и контроля заключается в том, что трафик к легитимному сервису и из него с большей вероятностью будет сливаться с легитимным трафиком организации и, следовательно, с меньшей вероятностью будет отмечен как подозрительный и заблокирован .

Cobalt Strike - это готовый инструмент, который можно использовать для загрузки шеллкода на машины жертвы; он имеет законное использование в качестве инструмента тестирования на проникновение, но часто используется злоумышленниками. Тактика, используемая в этой серии атак, аналогична тактике, которая использовалась ранее в других целевых атаках программ-вымогателей. Microsoft опубликовала исследованиев апреле на атаки шести банд вымогателей, в том числе Sodinokibi, и заявил, что многие из групп используют аналогичную тактику. Вектор большинства атак, наблюдаемых Microsoft, был либо эксплуатацией уязвимых сетевых устройств, либо атаками методом перебора на серверах протокола удаленного рабочего стола (RDP), а за первоначальным вторжением последовало использование обычных и обычных инструментов для выполнять кражу учетных данных и перемещение по сторонам перед развертыванием полезной нагрузки программы-вымогателя на нескольких компьютерах. Таким образом, тактика, используемая в этой кампании атаки, обычно используется целевыми бандами вымогателей.

Попав в сеть, злоумышленники предпринимают различные шаги, чтобы снизить вероятность того, что они будут обнаружены, и повысить вероятность того, что их атака сработает. Злоумышленники пытаются отключить любое программное обеспечение безопасности на машине, чтобы их активность не могла быть обнаружена. Они также позволяют подключаться к удаленному рабочему столу, чтобы использовать их для запуска вредоносных команд.

Злоумышленники также, похоже, заинтересованы в краже учетных данных на машинах-жертвах, и наблюдаются добавление учетных записей пользователей, предположительно в попытке сохранить постоянство на машинах-жертвах, а также в дальнейшей попытке сохранить низкий профиль в сетях жертвы.

Мы видим, что злоумышленники используют закодированные команды PowerShell в некоторых из этих атак. PowerShell - это инструмент командной строки Windows, который преследует множество законных целей, но также часто используется злоумышленниками в гнусных целях, используя тактику «за пределами земли».

Мы видим, как программа-вымогатель Sodinokibi была задействована на трех жертвах, зараженных Cobalt Strike.

Sodinokibi - это целенаправленная программа-вымогатель - мы увидели, что количество целевых атак программ-вымогателей увеличилось на 62 процента в 2019 году, а целевые программы-вымогатели в настоящее время являются одной из самых больших угроз в сфере кибербезопасности.

Sodinokibi (он же REvil) впервые появился в апреле 2019 года, но многие считают, что за ним стоят те же участники, которые использовали вымогатель GandCrab. GandCrab был очень активным целевым программным вымогателем, который впервые появился в 2018 году. Однако в июне 2019 года его операторы объявили, что они «уходят на пенсию» , заявив, что они заработали более 2 миллиардов долларов на вымогательстве. Однако широко распространено мнение, что вместо этого они просто обратили внимание на программу-вымогатель Sodinokibi.

Первоначально считалось, что Sodinokibi управляется одной группой, но теперь считается, что он действует как программа-вымогатель как услуга (RaaS), где одна группа поддерживает код и сдает его в аренду другим группам, известным как аффилированные лица, которые несут от атак и распространения программ-вымогателей. Любая полученная прибыль затем распределяется между филиалами и исходной бандой.

С момента появления на месте событий Sodinokibi стал одним из самых распространенных штаммов целевых программ-вымогателей и был замечен во многих громких инцидентах. Актеры, использующие Sodinokibi, по-видимому, были ответственны за взлом валютного сервиса Travelex в канун Нового года. Согласно публичным сообщениям, атака оставила компанию в автономном режиме почти на месяц и нанесла серьезный ущерб ее бизнесу. Сообщается, что в этом инциденте злоумышленники потребовали выкуп в размере 6 миллионов долларов, а Travelex, как сообщается, в конечном итоге заплатил 2,3 миллиона долларов за восстановление доступа к своим системам. В январе сообщалось, что среднее требование выкупа Содинокиби составляло 260 000 долларов , так что это был огромный выкуп.

В прошлом году Sodinokibi поразила несколько других известных компаний и, как и группа программ-вымогателей Maze, объявила в декабре 2019 года, что выпустит данные, украденные у жертв, если ее требования о выкупе не будут выполнены. После этого объявления банда была замечена, предлагая данные жертв для продажи на хакерских форумах, а в начале июня был запущен аукционный сайт, на котором группа заявила, что будет продавать украденные данные тому, кто больше заплатит.

Жертвы
Три жертвы, заразившиеся Sodinokibi в этой кампании, работали в сфере услуг, питания и здравоохранения. Зараженные компании по производству продуктов питания и услуг были крупными многопрофильными организациями, которые, вероятно, были способны заплатить крупный выкуп - тип компании, которая обычно становится мишенью для Sodinokibi. Однако медицинская организация, похоже, была меньше по размеру. Интересно, что системы этой жертвы также были просканированы злоумышленниками на предмет наличия ПО PoS. Возможно, злоумышленники осознали, что этот бизнес может быть не в состоянии заплатить большие выкупы, обычно требуемые при атаке Sodinokibi, и поэтому сканировали программное обеспечение PoS, чтобы определить, могут ли они получить выгоду от компрометации другим способом, или они могли сканирует на наличие такого программного обеспечения, просто чтобы зашифровать его.

Злоумышленники потребовали, чтобы выкуп был выплачен в криптовалюте Monero, которая пользуется преимуществом из-за ее конфиденциальности, поскольку, в отличие от Биткойна, вы не всегда можете отслеживать транзакции. По этой причине мы не знаем, заплатила ли какая-либо из жертв выкуп, который составлял 50 000 долларов США, если он был выплачен в первые три часа, а затем увеличился до 100 000 долларов США.

Заключение
Хотя многие из элементов этой атаки являются «типичными» тактиками, которые использовались в предыдущих атаках с использованием Sodinokibi, сканирование систем жертвы на предмет наличия программного обеспечения PoS представляет интерес, поскольку это обычно не то, что вы наблюдаете вместе с целевыми атаками программ-вымогателей. Будет интересно посмотреть, было ли это просто оппортунистическим действием в этой кампании или это будет новая тактика, принятая целевыми бандами вымогателей.

Ясно одно: актеры, использующие Sodinokibi, сложны и опытны и не проявляют никаких признаков того, что их активность, вероятно, снизится в ближайшее время. Компании, на которые распространяется эта программа-вымогатель, как правило, являются крупными корпоративными организациями, поэтому компаниям, подобным этой, необходимо знать об угрозе, исходящей от такого рода деятельности.