LokiLocker и BlackBit атакуют российский бизнес
Треть всех жертв этих шифровальщиков по всему миру находятся в РФ — 21 компания. Вымогатели требуют выкуп до $100 000 (до 8 млн рублей) за расшифровку данных атакованной компании, но при этом не похищают информацию и не шифруют файлы на компьютерах, где выбран персидский в качестве основного языка интерфейса.
Первые атаки программ-вымогателей из семейства LokiLocker эксперты Лаборатории цифровой криминалистики зафиксировали весной 2022 года на Ближнем Востоке, хотя сам шифровальщик появился годом раньше, летом 2021 года. В дальнейшем атаки с использованием LokiLocker, который распространяется по партнерской программе RaaS (Ransomware-as-a-Service, «вымогательство как услуга»), были замечены по всему миру.
В России наряду с LokiLocker для атак на средний и малый бизнес злоумышленники использовали новый «родственный» шифровальщик под брендом BlackBit. По своему функционалу он практически идентичен LokiLocker, основное отличие состоит лишь в нейминге: для зашифрованных файлов используется расширение. BlackBit.
Несмотря на то, что партнеры, взявшие на вооружение LokiLocker и BlackBit, не похищают у своих жертвы данные и не выкладывают их на Data Leak Site (DLS) для дальнейшего шантажа, криминалистам F.A.C.C.T. удалось раскрыть, кого именно атакуют вымогатели, используя данные, полученные при реагированиях на инциденты и анализе сторонних источников, в том числе с портала VirusTotal.
Кого атакуют «близнецы-вымогатели»
Начиная с апреля 2022 года «близнецы-вымогатели» LokiLocker и BlackBit атаковали не менее 62 компаний по всему миру, из них 21 жертва находилась в России. В основном это компании малого и среднего бизнеса из сферы строительства, туризма, розничной торговли. Это является еще одним подтверждением, что от атак шифровальщиков не застрахован никто, а масштаб бизнеса — не является для части из них важным критерием.
Начальная сумма выкупа, которую требуют вымогатели, колеблется от $10 000 до $100 000 (от 800 тысяч рублей до 8 млн рублей), финальный размер зависит от платежеспособности компании и числа приобретаемых жертвой ключей расшифровки — для каждого зашифрованного хоста требуется свой оригинальный декриптор.
Одной из особенностей вымогателей, на которую обратили внимание эксперты, является проверка языка ввода — если вредоносная программа находит на компьютере установленный персидский язык (Persian), то завершает свою работу. Однако вопрос об атрибуции злоумышленников к конкретной стране, до сих пор остается открытым.
Некоторые исследователи убеждены, что атаки LokiLocker и BlackBit намеренно проводятся «под чужим флагом» для того, чтобы затруднить работу исследователям. В свою очередь криминалисты F.A.C.C.T. не исключают, что состав группы может быть интернациональным, несмотря на то, что партнерская программа и первые версии программы-вымогателя изначально были созданы носителями персидского языка.
Цепочка KillChain
В компании F.A.C.C.T. установили, что в среднем продолжительность атак вымогателей LokiLocker и BlackBit составляет от суток до нескольких дней. В качестве первоначального вектора атаки злоумышленники используют скомпрометированные службы удаленного доступа (T1133) и, прежде всего, публично доступный терминальный сервер — RDP (Remote Desktop Protocol). Для получения доступа к RDP-серверу атакующие могут применять как метод подбора пары «логин/пароль» (T1110), так и их покупку на даркнет-ресурсах у брокеров первоначального доступа.
Получив первоначальный доступ, атакующие стремятся закрепиться в сети и получить привилегированные учетные данные — для этого они используют популярную легитимную утилиту Mimikatz (T1003). В процессе разведки для оценки платежеспособности жертвы злоумышленники могут изучать на хостах файлы и документы, но не похищают их.
«Залив» программы-вымогателя в ИТ-инфраструктуру жертвы на Windows-системы проводится атакующими преимущественно вручную, обычно в выходной или праздничный день. Предварительно, вымогатели стараются отключить антивирусное программное обеспечение, используя легитимные утилиты (T1562.001). В качестве канала коммуникации с жертвами хакеры используют электронную почту и Telegram. По истечении 30-дневного срока — если выкуп не получен и не использован декриптор, программа-вымогатель уничтожает все данные в скомпрометированной системе.
«В период геополитической напряженности российский бизнес все чаще подвергается кибератакам, среди которых в последнее время заметную роль стали играть программы вымогатели, ранее встречавшиеся в РФ крайне редко, например, тот же LokiLocker, — замечает генеральный директор компании F.A.С.С.T. Валерий Баулин. — Несмотря на то, что партнеры LokiLocker и BlackBit не демонстрируют в своих атаках особо изощренных или инновационных методов, а сами программы-вымогатели хорошо известны многим средствам защиты, это не спасает жертв от шифрования данных. Успех атак во многом объясняется легкомысленным отношением бизнеса к защищенности своих внешних сервисов удаленного доступа, в первую очередь публично доступных терминальных серверов — это значительно расширяет поверхность атаки и упрощает задачу злоумышленникам».
Эксперты F.A.С.С.T. рекомендуют компаниям малого и среднего бизнеса использовать простые и удобные в работе продукты класса Attack Surface Management, которые анализируют «пробелы» в защите внешнего периметра компании, включая по неосторожности оставленные открытыми порты, «забытые» и неконтролируемые ИТ-ресурсы и другие потенциальные пути проникновения злоумышленников в инфраструктуру организации.