Чтобы получить начальный доступ к целевой сети, группа использовала свой давний инструмент троян Dridex. Троян позволял злоумышленникам загружать PowerShell Empire популярный фреймворк постэксплуатации, чтобы перемещаться по сети и получать расширенные права доступа, в том числе с использованием Mimikatz, как делали операторы SamSam.
Преступники развертывали программу-вымогатель в масштабах предприятия, используя модификацию групповой политики, которая позволяла им отправлять на каждый хост скрипт для запуска экземпляра программы-вымогателя.
Злоумышленники общались с жертвами как по электронной почте, так и в онлайн-чатах.
Рис. 1.3. Пример сообщения BitPaymer с требованием выкупа[2]
В июне 2019 г. появилась новая программа-вымогатель DoppelPaymer, основанная на BitPaymer. Считается, что ею управляла дочерняя группа Evil Corp (источник: https://www.crowdstrike.com/blog/doppelpaymer-ransomware-and-dridex-2/).
Создатели программы-вымогателя BitPaymer
13 ноября 2019 г. ФБР обнародовало заключение, в котором виновными в управлении троянскими программами Dridex были названы Максим Викторович Якубец и Игорь Олегович Турашев.
Рис. 1.4. Фрагмент плаката ФБР о розыске
Максим Викторович Якубец в настоящее время находится в розыске по нескольким пунктам обвинения в киберпреступной деятельности. По различным данным, за его поимку назначена награда в $5 млн.
Разумеется, Dridex не был единственным трояном, использованным в атаках программ-вымогателей, управляемых людьми. Другой яркий пример Trickbot, тесно связанный с программой-вымогателем Ryuk.
2018 г. программа-вымогатель Ryuk
Программа-вымогатель Ryuk вывела охоту на крупную дичь на новый уровень. Этот штамм программы-вымогателя, связанный с группой Trickbot, также известной как Wizard Spider, активен и сегодня.
По данным AdvIntel, за свою историю группа атаковала различные организации и заработала не менее $150 млн (источник: https://www.advanced-intel.com/post/crime-laundering-primer-inside-ryuk-crime-crypto-ledger-risky-asian-crypto-traders).
Некоторое время Ryuk называли тройной угрозой, поскольку заражения обычно начинались с трояна Emotet, который загружал Trickbot, который, в свою очередь, использовался для загрузки инструментов постэксплуатации и окончательного развертывания программы-вымогателя. Обычно Trickbot использовался для загрузки агента PowerShell Empire или Cobalt Strike Beacon элемента еще одного чрезвычайно популярного фреймворка постэксплуатации.
Недавно группа изменила набор инструментов и стала использовать новый троян под названием Bazar. Интересно, что они начали применять «вишинг» (голосовой фишинг). Фишинговые письма содержат не вредоносные файлы или ссылки, а лишь ложную информацию о платной подписке и номер телефона, по которому можно позвонить, чтобы отменить ее. Если жертва звонит по номеру, оператор подсказывает ей загрузить вредоносный файл Microsoft Office, открыть его и включить макросы, которые заражают компьютер трояном Bazar. Как и в случае с Trickbot, троян используется для загрузки и запуска фреймворка постэксплуатации чаще всего Cobalt Strike.
Злоумышленники использовали несколько методов запуска Ryuk, в том числе ранее упомянутый PsExec и модификацию групповой политики. Поначалу они указывали адреса электронной почты, чтобы жертвы могли связаться с ними, но вскоре начали использовать onion-сервисы Tor.
Рис. 1.5. Инструкции, указанные в сообщении о выкупе[3]
Операторы программы-вымогателя Ryuk по-прежнему активны и, по данным AdvIntel и HYAS, уже заработали более $150 млн (источник: https://www.advanced-intel.com/post/crime-laundering-primer-inside-ryuk-crime-crypto-ledger-risky-asian-crypto-traders).
Кто стоит за программой-вымогателем Ryuk?
4 июня 2021 г. ФБР обнародовало документ, обвиняющий Аллу Витте, также известную как Макс, в причастности к транснациональной организации, ответственной за создание и распространение трояна Trickbot.
Некоторые другие лица, связанные с Ryuk, были операторами ботнета Emotet. Их арестовали в январе 2021 г. в результате совместной операции правоохранительных органов Нидерландов, Германии, США, Великобритании, Франции, Литвы, Канады и Украины. В результате власти взяли инфраструктуру ботнета под полный контроль.
Вот как выглядело рабочее место операторов Emotet.
Рис. 1.6. Рабочее место операторов Emotet
Несмотря на аресты злоумышленников, «большая игра» привлекает все больше и больше киберпреступников. В результате появился еще один феномен программа-вымогатель как услуга.
2019 г. настоящее время: программы-вымогатели как услуга (RaaS)
2019 г. был годом роста популярности программ-вымогателей как услуги, и сегодня они по-прежнему остаются главной тенденцией. Многие разработчики программ-вымогателей начали предлагать свои продукты различным злоумышленникам в обмен на процент от полученного выкупа.
REvil, LockBit, Ragnar Locker, Nefilim лишь некоторые из семейств программ-вымогателей, распространяемых по модели «программа-вымогатель как услуга». И даже если несколько злоумышленников используют один и тот же тип программы-вымогателя, их тактики, техники и процедуры могут быть очень разными.
Тем не менее в настоящее время многие злоумышленники используют один и тот же подход: они извлекают данные до фактического развертывания программ-вымогателей. Этот тренд заложили еще в 2019 г. операторы программ-вымогателей Maze. В настоящее время почти все злоумышленники, предпринимающие подобные атаки, имеют свои собственные сайты утечки данных (Data Leak Site, DLS).
Вот пример DLS, используемого в операциях с программой-вымогателем DoppelPaymer.
Рис. 1.7. DLS DoppelPaymer[4]
Обычно инициаторы атаки не управляют сами всем ее жизненным циклом, а пользуются услугами других злоумышленников. Например, они могут сотрудничать с брокерами первоначального доступа, которые позволяют им проникнуть в скомпрометированные корпоративные сети. В некоторых случаях они могут платить профессиональным тестировщикам на проникновение (пентестерам) за расширение прав доступа или обход защиты, чтобы затем беспрепятственно запускать программы-вымогатели в масштабах всего предприятия.
Злоумышленники, участвующие в проекте, могут получать различные доли от выкупа. Обычно разработчики получают около 20 %, инициаторы атаки около 50 %, брокеры первоначального доступа 10 %, а остальное достается вспомогательным злоумышленникам, например пентестерам или переговорщикам.
Программы-вымогатели как услуга в настоящее время чрезвычайно распространены. Согласно отчету Group-IB Ransomware Uncovered 2020/2021 (https://www.group-ib.com/resources/research-hub/ransomware-2021/), 64 % всех атак программ-вымогателей в 2020 г. были совершены лицами, связанными с RaaS.
Кто стоял за программами-вымогателями как услугой?
Одному из лиц, связанных с программой-вымогателем NetWalker, Себастьену Вашон-Дежардену, гражданину Канады, было предъявлено обвинение в январе 2021 г. Утверждается, что он в общей сложности заработал вымогательством более $27,6 млн.
Другой пример пара лиц, аффилированных с программой-вымогателем Egregor, которые были арестованы с помощью французских властей, отследивших уплаты выкупа в их адрес.
Еще один пример лица, связанные с программой-вымогателем Clop, которые помогали злоумышленникам в отмывании денег и также были арестованы в июне 2021 г.