LokiLocker и BlackBit атакуют российский бизнес

18.05.2023
Эксперты Лаборатории цифровой криминалистики компании F.A.C.C.T. предупреждают об активизации в России программ-вымогателей LokiLocker и BlackBit.

Треть всех жертв этих шифровальщиков по всему миру находятся в РФ — 21 компания. Вымогатели требуют выкуп до $100 000 (до 8 млн рублей) за расшифровку данных атакованной компании, но при этом не похищают информацию и не шифруют файлы на компьютерах, где выбран персидский в качестве основного языка интерфейса.

Первые атаки программ-вымогателей из семейства LokiLocker эксперты Лаборатории цифровой криминалистики зафиксировали весной 2022 года на Ближнем Востоке, хотя сам шифровальщик появился годом раньше, летом 2021 года. В дальнейшем атаки с использованием LokiLocker, который распространяется по партнерской программе RaaS (Ransomware-as-a-Service, «вымогательство как услуга»), были замечены по всему миру.

В России наряду с LokiLocker для атак на средний и малый бизнес злоумышленники использовали новый «родственный» шифровальщик  под брендом BlackBit. По своему функционалу он практически идентичен LokiLocker, основное отличие состоит лишь в нейминге: для зашифрованных файлов используется расширение. BlackBit.

Несмотря на то, что партнеры, взявшие на вооружение LokiLocker и  BlackBit, не похищают у своих жертвы данные и не выкладывают их на Data Leak Site (DLS) для дальнейшего шантажа, криминалистам F.A.C.C.T. удалось раскрыть, кого именно атакуют вымогатели, используя данные, полученные при реагированиях на инциденты и анализе сторонних источников, в том числе с портала VirusTotal.

Кого атакуют «близнецы-вымогатели»

Начиная с апреля 2022 года «близнецы-вымогатели» LokiLocker и BlackBit атаковали не менее 62 компаний по всему миру, из них 21 жертва находилась в России. В основном это компании малого и среднего бизнеса из сферы строительства, туризма, розничной торговли. Это является еще одним подтверждением, что от атак шифровальщиков не застрахован никто, а масштаб бизнеса  —  не является для части из них важным критерием.

Начальная сумма выкупа, которую требуют вымогатели, колеблется от $10 000 до $100 000 (от 800 тысяч рублей до 8 млн рублей), финальный размер зависит от платежеспособности компании и числа приобретаемых жертвой ключей расшифровки — для каждого зашифрованного хоста требуется свой оригинальный декриптор.

Одной из особенностей вымогателей, на которую обратили внимание эксперты, является проверка языка ввода — если вредоносная программа находит на компьютере установленный персидский язык (Persian), то завершает свою работу. Однако вопрос об атрибуции злоумышленников к конкретной стране, до сих пор остается открытым.

Некоторые исследователи убеждены, что атаки LokiLocker и BlackBit намеренно проводятся «под чужим флагом» для того, чтобы затруднить работу исследователям. В свою очередь криминалисты F.A.C.C.T. не исключают, что состав группы может быть интернациональным, несмотря на то, что партнерская программа и первые версии программы-вымогателя изначально были созданы носителями персидского языка.

Цепочка KillChain

В компании F.A.C.C.T. установили, что в среднем продолжительность атак вымогателей LokiLocker и BlackBit составляет от суток до нескольких дней. В качестве первоначального вектора атаки злоумышленники используют скомпрометированные службы удаленного доступа (T1133) и, прежде всего, публично доступный терминальный сервер — RDP (Remote Desktop Protocol). Для получения доступа к RDP-серверу атакующие могут применять как метод подбора пары «логин/пароль» (T1110), так и их покупку на даркнет-ресурсах у брокеров первоначального доступа.

Получив первоначальный доступ, атакующие стремятся закрепиться в сети и получить привилегированные учетные данные — для  этого они используют популярную легитимную утилиту Mimikatz (T1003). В процессе разведки  для оценки платежеспособности жертвы злоумышленники могут изучать на хостах файлы и документы, но не похищают их.

«Залив» программы-вымогателя в ИТ-инфраструктуру жертвы на Windows-системы проводится атакующими преимущественно вручную, обычно в выходной или праздничный день. Предварительно, вымогатели стараются отключить антивирусное программное обеспечение,  используя легитимные утилиты  (T1562.001). В качестве канала коммуникации с жертвами хакеры используют электронную почту и Telegram. По истечении 30-дневного срока — если выкуп не получен и не использован декриптор, программа-вымогатель уничтожает все данные в скомпрометированной системе.

«В период геополитической напряженности российский бизнес все чаще подвергается кибератакам, среди которых в последнее время заметную роль стали играть программы вымогатели, ранее встречавшиеся в РФ крайне редко, например, тот же LokiLocker, — замечает генеральный директор компании F.A.С.С.T. Валерий Баулин. — Несмотря на то, что партнеры LokiLocker и BlackBit не демонстрируют в своих атаках особо изощренных или инновационных методов, а сами программы-вымогатели хорошо известны многим средствам защиты, это не спасает жертв от шифрования данных. Успех атак во многом объясняется легкомысленным отношением бизнеса к защищенности своих внешних сервисов удаленного доступа, в первую очередь публично доступных терминальных серверов — это значительно расширяет поверхность атаки и упрощает задачу злоумышленникам».

Эксперты F.A.С.С.T.  рекомендуют компаниям малого и среднего бизнеса использовать простые и удобные в работе продукты класса Attack Surface Management, которые анализируют «пробелы» в защите внешнего периметра компании, включая по неосторожности оставленные открытыми порты, «забытые» и неконтролируемые ИТ-ресурсы и другие потенциальные пути проникновения злоумышленников в инфраструктуру организации.

Читайте также
IT-World рассказывает о принципах работы интеллектуальных систем учета электроэнергии, о СИГМА.ИВК - комплексе на базе импортозамещенных цифровых решений. Как работает СИГМА.ИВК, где применяется? Узнаем планы разработчиков комплекса.

Если же компанию атаковали — наиболее быстрым способом реагировать на инцидент является так называемый ретейнер — это пакет предоплаченных проактивных и реактивных сервисов для профессионального реагирования на атаку в формате 24/7/365. По первому сигналу команда криминалистов выезжает на реагирование или проводит его удаленно для минимизации простоя инфраструктуры и ущерба от кибератаки без потерь времени на согласование юридических документов.
Похожие статьи