Атаки программ-вымогателей LokiLocker и BlackBit в России
По сообщению компании F.A.C.C.T., эксперты ее лаборатории цифровой криминалистики предупреждают об активизации в России программ-вымогателей LokiLocker и BlackBit. По их данным, в нашей стране находится треть жертв этих шифровальщиков по всему миру (21 компания). Вымогатели требуют выкуп от до 100 тыс. долл. (до 8 млн рублей) за расшифровку данных атакованной компании.
Первые атаки программ-вымогателей из семейства LokiLocker эксперты Лаборатории цифровой криминалистики зафиксировали весной 2022 г. на Ближнем Востоке, хотя сам шифровальщик появился годом раньше, летом 2021-го. В дальнейшем атаки с использованием LokiLocker, который распространяется по партнерской программе RaaS (Ransomware-as-a-Service, «вымогательство как услуга»), были замечены по всему миру.
В России наряду с LokiLocker для атак на средний и малый бизнес злоумышленники использовали новый «родственный» шифровальщик под брендом BlackBit. По своему функционалу он практически идентичен LokiLocker, основное отличие состоит лишь в нейминге: для зашифрованных файлов используется расширение BlackBit.
Несмотря на то что партнеры, взявшие на вооружение LokiLocker и BlackBit, не похищают у жертв данные и не выкладывают их на Data Leak Site (DLS) для дальнейшего шантажа, криминалистам F.A.C.C.T. удалось раскрыть, кого именно атакуют вымогатели, используя данные, полученные при реагированиях на инциденты и анализе сторонних источников, в том числе с портала VirusTotal.
Начиная с апреля 2022 г. вымогатели LokiLocker и BlackBit атаковали не менее 62 компаний по всему миру, из них 21 жертва находилась в России. В основном это компании малого и среднего бизнеса из сферы строительства, туризма, розничной торговли. Одна из особенностей вымогателей – проверка языка ввода: если вредоносная программа находит на компьютере установленный персидский язык (Persian), то завершает свою работу. Однако вопрос об атрибуции злоумышленников к конкретной стране до сих пор остается открытым.
Некоторые исследователи убеждены, что атаки LokiLocker и BlackBit намеренно проводятся «под чужим флагом», чтобы затруднить работу исследователям. Криминалисты F.A.C.C.T. не исключают, что состав группы может быть интернациональным, несмотря на то что партнерская программа и первые версии программы-вымогателя изначально были созданы носителями персидского языка.
Как установили в F.A.C.C.T., продолжительность атак вымогателей LokiLocker и BlackBit составляет от суток до нескольких дней. В качестве первоначального вектора атаки злоумышленники используют скомпрометированные службы удаленного доступа (T1133) и прежде всего публично доступный терминальный сервер RDP (Remote Desktop Protocol). Для получения доступа к RDP-серверу атакующие могут применять как метод подбора пары «логин/пароль» (T1110), так и их покупку на даркнет-ресурсах у брокеров первоначального доступа.
Получив первоначальный доступ, атакующие стремятся закрепиться в сети и получить привилегированные учетные данные, используя популярную легитимную утилиту Mimikatz (T1003). В процессе разведки для оценки платежеспособности жертвы злоумышленники могут изучать на хостах файлы и документы, но не похищают их.
«Залив» программы-вымогателя в ИТ-инфраструктуру жертвы на Windows-системы проводится преимущественно вручную, обычно в выходной или праздничный день. Предварительно вымогатели стараются отключить антивирусное ПО, используя легитимные утилиты (T1562.001). В качестве канала коммуникации с жертвами хакеры используют электронную почту и Telegram. Начальная сумма выкупа, колеблется от 10 тыс. до 100 тыс. долл., финальный размер зависит от платежеспособности компании и числа приобретаемых ключей расшифровки (для каждого зашифрованного хоста требуется свой оригинальный декриптор). По истечении 30-дневного срока, если выкуп не получен и не использован декриптор, программа-вымогатель уничтожает все данные в скомпрометированной системе.
Эксперты F.A.С.С.T. рекомендуют малому и среднему бизнесу использовать продукты класса Attack Surface Management, которые анализируют пробелы в защите внешнего периметра компании, включая по неосторожности оставленные открытыми порты, «забытые» и неконтролируемые ИТ-ресурсы и другие потенциальные пути проникновения злоумышленников в инфраструктуру организации. Если же компанию атаковали, в качестве наиболее быстрого способа реагировать на инцидент рекомендуется так называемый ретейнер – пакет предоплаченных проактивных и реактивных сервисов для профессионального реагирования на атаку в формате 24/7/365.