`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

ESET: за эпидемией Petya стоит кибергруппа Telebots

0 
 
ESET: за эпидемией Petya стоит кибергруппа Telebots

По совокупности признаков, включающих инфраструктуру, вредоносные инструменты, схемы и цели атак, исследователи ESET предполагают, что за эпидемией Diskcoder.C (Petya) стоит кибергруппа Telebots.

В декабре 2016 года ESET публиковала исследование об атаках группы на украинские финансовые компании. Злоумышленники выводили компьютеры из строя при помощи вредоносной программы KillDisk для перезаписи и удаления файлов с определенными целевыми расширениями. Атаки носили деструктивный характер, финансовая выгода никогда не была главным приоритетом для этой группы.

Для второй волны атак Telebots доработали KillDisk, добавив функцию шифрования и сообщение о выкупе, что придавало сходство с обыкновенным вымогателем. Тем не менее, авторы запрашивали за восстановление данных рекордную сумму — 222 биткоина (около 250 тысяч долларов по нынешнему курсу). Очевидно, целью хакеров оставался саботаж.

С января по март 2017 года TeleBots скомпрометировали украинскую компанию-разработчика программного обеспечения (не M.E.Doc), чтобы получить доступ к ИТ-сетям финансовых учреждений. Для этой атаки группа видоизменила используемые ранее бэкдоры и пополнила арсенал новыми шифраторами. Кроме того, атакующие использовали версию утилиты Mimikatz для извлечения учетных записей Windows из памяти зараженного компьютера и PsExec для распространения угрозы внутри сети.

18 мая ESET зафиксировала активность шифратора Win32/Filecoder.AESNI.C (XData). По данным телеметрии, он появлялся на компьютере сразу после запуска программного обеспечения для отчетности и документооборота украинского разработчика M.E.Doc. Далее XData автоматически распространялся в сети с помощью Mimikatz и PsExec. Вскоре после атаки мастер-ключи шифратора были опубликованы на форуме BleepingComputer. ESET выпустила дешифратор для жертв XData.

27 июня началась эпидемия Diskcoder.C (Petya). Код вредоносной программы частично позаимствован у шифратора Win32/Diskcoder.Petya, но изменен таким образом, что восстановить данные невозможно. Список целевых расширений хотя и не полностью идентичен, но очень похож на используемый в атаках KillDisk в декабре 2016 года.

Для распространения внутри корпоративной сети Petya использует знакомые методы: эксплойт EternalBlue (его применяли авторы WannaCry), Mimikatz в сочетании с PsExec (как в XData), а также механизм WMI.

Как и XData, шифратор Petya использовал в качестве начального вектора заражения программное обеспечение M.E.Doc. Более того, есть признаки, указывающие на то, что Petya и XData — не единственные семейства вредоносных программ, использовавшие этот вектор заражения. В частности, через сервер обновлений M.E.Doc распространялся VBS-бэкдор из арсенала группы TeleBots.


Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

0 
 

Напечатать Отправить другу

Читайте также

 
 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT