Опубликовано

Petya и другие. ESET опубликовала отчет о деструктивных атаках на корпоративный сектор

По совокупности признаков, включающих инфраструктуру, вредоносные инструменты, схемы и цели атак, исследователи ESET предполагают, что за эпидемией Diskcoder.C (Petya) стоит кибергруппа Telebots.

В декабре 2016 года ESET публиковала исследование об атаках группы на украинские финансовые компании. Злоумышленники выводили компьютеры из строя при помощи вредоносной программы KillDisk для перезаписи и удаления файлов с определенными целевыми расширениями. Атаки носили деструктивный характер, финансовая выгода никогда не была главным приоритетом для этой группы.

Для второй волны атак Telebots доработали KillDisk, добавив функцию шифрования и сообщение о выкупе, что придавало сходство с обыкновенным вымогателем. Тем не менее, авторы запрашивали за восстановление данных рекордную сумму – 222 биткоина (около 250 тысяч долларов по нынешнему курсу). Очевидно, целью хакеров оставался саботаж.

petya.jpg

С января по март 2017 года TeleBots скомпрометировали украинскую компанию-разработчика программного обеспечения (не M.E.Doc), чтобы получить доступ к ИТ-сетям финансовых учреждений. Для этой атаки группа видоизменила используемые ранее бэкдоры и пополнила арсенал новыми шифраторами. Кроме того, атакующие использовали версию утилиты Mimikatz для извлечения учетных записей Windows из памяти зараженного компьютера и PsExec для распространения угрозы внутри сети.

18 мая ESET зафиксировала активность шифратора Win32/Filecoder.AESNI.C (XData). По данным телеметрии, он появлялся на компьютере сразу после запуска программного обеспечения для отчетности и документооборота украинского разработчика M.E.Doc. Далее XData автоматически распространялся в сети с помощью Mimikatz и PsExec. Вскоре после атаки мастер-ключи шифратора были опубликованы на форуме BleepingComputer. ESET выпустила дешифратор для жертв XData.

27 июня началась эпидемия Diskcoder.C (Petya). Код вредоносной программы частично позаимствован у шифратора Win32/Diskcoder.Petya, но изменен таким образом, что восстановить данные невозможно. Список целевых расширений хотя и не полностью идентичен, но очень похож на используемый в атаках KillDisk в декабре 2016 года.

Для распространения внутри корпоративной сети Petya использует знакомые методы: эксплойт EternalBlue (его применяли авторы WannaCry), Mimikatz в сочетании с PsExec (как в XData), а также механизм WMI.

Как и XData, шифратор Petya использовал в качестве начального вектора заражения программное обеспечение M.E.Doc. Более того, есть признаки, указывающие на то, что Petya и XData – не единственные семейства вредоносных программ, использовавшие этот вектор заражения. В частности, через сервер обновлений M.E.Doc распространялся VBS-бэкдор из арсенала группы TeleBots.

«Внедрение в инфраструктуру M.E.Doc и ее клиентов обеспечило широкие возможности для распространения Diskcoder.C, – комментирует Антон Черепанов, старший вирусный аналитик ESET. – Атака продемонстрировала глубокое понимание ресурсов, имеющихся в распоряжении кибергруппы. Возможности эксплойта EternalBlue – еще одна проблема, с которой специалисты по информационной безопасности будут сталкиваться все чаще».

Полный текст отчета ESET доступен в блоге на Хабрахабр.

Share Button