Вайпер CryWiper притворяется шифровальщиком | Securelist
Большинство кибератак имеют финансовую мотивацию, однако в последнее время возросло число атак, цель которых — не обогащение, а нанесение ущерба жертве. Одним из инструментов таких атак являются вайперы (от англ. wiper) — программы, которые уничтожают данные без возможности восстановления. К наиболее известным вайперам, появившимся в 2022 году, относятся DoubleZero, IsaacWiper, HermeticWiper, CaddyWiper, WhisperGate, AcidRain, Industroyer2 и RuRansom.
Осенью 2022 года наши решения зафиксировали попытки ранее неизвестного троянца, которого мы назвали CryWiper, атаковать сеть организации в Российской Федерации. Изучив образец вредоносного ПО, мы выяснили, что этот троянец, хотя и маскируется под шифровальщика и вымогает у жертвы деньги за «расшифровку» данных, в действительности не шифрует, а целенаправленно уничтожает данные в пострадавшей системе. Более того, анализ программного кода троянца показал, что это не ошибка разработчика, а его изначальный замысел.
Технические детали CryWiper
Попавший к нам образец CryWiper — это 64-битный исполняемый файл под ОС Windows. Зловред разработан на языке C++ и собран с помощью набора инструментов MinGW-w64 и компилятора GCC. Это не самый распространенный подход среди разработчиков вредоносного ПО на C/C++ под Windows — для таких целей чаще используют среду разработки Microsoft Visual Studio. Сборка с помощью MinGW целесообразна либо при разработке кросс-платформенного приложения под разные ОС (например, под Windows, Linux и/или FreeBSD), либо если сам разработчик в качестве основной ОС использует что-либо отличное от Windows. Отметим, что в случае CryWiper первый вариант маловероятен, так как троянец использует много вызовов WinAPI-функций.
Дата сборки образца, в соответствии с полем PE заголовка: 2022-09-06 11:08:54.
Образец троянца был обнаружен по следующему пути:
c:\windows\system32\browserupdate.exe
c:\windows\system32\browserupdate. |
Алгоритм работы CryWiper
Создание задачи в планировщике
После запуска CryWiper с помощью планировщика заданий (Task Scheduler) и команды schtasks create создает задачу для запуска собственного файла каждые 5 минут.
Создание задачи в планировщике
Коммуникация с C&C
Затем троянец обращается к своему командному серверу с помощью запроса HTTP GET и в виде параметра передает имя зараженного компьютера.
Запрос CryWiper и ответ от C&C
В ответ сервер C&C отправляет строку run либо do not run, которая управляет поведением троянца. Если вернулось run, то CryWiper сразу приступит к вредоносной активности.
Во всех остальных случаях исполняется особая логика, которая, судя по результатам нашего анализа, задумана как отсрочка выполнения на 4 суток (345 600 секунд). Однако реализована она неудачно: код написан так, что зловред ни при каких условиях не будет ждать указанное время и просто завершит исполнение, если не получил команду run. CryWiper сохраняет текущее время в реестре (параметр HKCU\Software\Sysinternals\BrowserUpdate\Timestamp) сразу перед проверкой ответа от сервера. Получив команду do not run или не получив указаний, он вычисляет, сколько секунд прошло с сохраненного момента, и, если это значение меньше 345 600 секунд, завершает работу. При этом оно никогда не будет больше 345 600 секунд — в действительности проверка занимает лишь доли секунды. А при следующем запуске (см. выше — для этой цели троянец создавал задачу в планировщике) CryWiper снова перезапишет значение Timestamp.
Код, замеряющий время и проверяющий ответ от C&C
Остановка процессов, изменение настроек
Получив ответ run, CryWiper с помощью команды taskkill останавливает процессы, относящиеся к работе серверов баз данных MySQL и MS SQL, почтового сервера MS Exchange и веб-служб MS Active Directory. Троянец делает это для того, чтобы иметь доступ к файлам, которые были бы заняты этими процессами в случае их нормальной работы.
Остановка процессов и удаление теневых копий
Кроме того, троянец удаляет теневые копии файлов при помощи команды vssadmin delete shadows /for=c: /all, что, однако, затрагивает только диск C:. Вероятно, это еще одна оплошность злоумышленника.
Также интересная деталь связана с изменением параметра реестра HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\fDenyTSConnections, который отвечает за запрет подключения к системе по протоколу удаленного рабочего стола (RDP). При атаках с использованием программ-вымогателей злоумышленники зачастую выставляют значение этого параметра на 0, чтобы разрешить к системе доступ по RDP, — например, с целью горизонтального распространения в скомпрометированной сети.
Здесь же мы наблюдаем противоположное поведение: CryWiper устанавливает значение 1, что запрещает доступ по RDP.
Запрет доступа по RDP
Цель этого действия не вполне ясна. Возможно, таким образом разработчик троянца пытается усложнить жизнь ИБ- и IT-специалистам, которые будут участвовать в реагировании на инцидент, — из-за этой настройки они не смогут без дополнительных действий удаленно подключиться к зараженной системе.
Уничтожение данных
Для уничтожения пользовательских файлов CryWiper генерирует последовательность данных при помощи известного генератора псевдослучайных чисел «Вихрь Мерсенна» и записывает эти данные вместо оригинального содержимого файла.
При поиске пользовательских файлов CryWiper пропускает те, которые имеют расширения или находятся в директориях, указанных в таблице.
Игнорируемые расширения файлов | Подстроки в пути к игнорируемым директориям |
.exe | C:\Windows |
.dll | tmp |
.lnk | winnt |
.sys | temp |
.msi | thumb |
.CRY | System Volume Information |
Boot | |
Windows | |
Trend Micro |
Файлы с испорченным содержимым получают дополнительное расширение .CRY.
Часть процедуры, реализующей ГПСЧ «Вихрь Мерсенна». Выделены характерные константы
Примечательно, что точной такой же алгоритм генерации псевдослучайных чисел использовал другой вайпер — IsaacWiper. Впрочем, никакой иной взаимосвязи между ними обнаружить не удалось. Кроме того, они использовались в атаках на разные цели. Так, IsaacWiper был замечен в атаках на государственный сектор Украины, а CryWiper, по имеющимся у нас данным, атаковал организацию в Российской Федерации.
Часть процедуры, уничтожающей содержимое файлов
CryWiper маскируется под шифровальщика и сохраняет в файле README.txt требования о выкупе. В тексте требований используются типичные для вымогательского ПО формулировки, а также приводится адрес Bitcoin-кошелька для оплаты выкупа, адрес почты для связи со злоумышленниками и ID заражения.
Строка ID у CryWiper фиксированная, она содержится в теле троянца и не меняется от запуска к запуску. В большинстве шифровальщиков ID уникален для каждой жертвы и нужен атакующим, чтобы определить, какая жертва заплатила выкуп, а какая нет. Хотя из этого правила есть исключения: если для каждой атаки собирается новый образец троянца, то иногда ID оставляется фиксированным или даже вообще не используется.
Так или иначе, CryWiper умышленно уничтожает содержимое файлов, а значит, и отличать одну жертву от другой для атакующих нет смысла — все равно расшифровывать после заражения уже нечего.
Текст требований CryWiper
Связь с другими семействами
С точки зрения кода и функциональности CryWiper — новый зловред, не связанный с уже существующими семействами. Однако среди вайперов редко используется генерация случайных значений при помощи «Вихря Мерсенна» — чаще встречаются более простые варианты. Выбор алгоритма в CryWiper совпадает с ранее упомянутым IsaaсWiper – единственным из популярных вайперов, который генерирует псевдослучайные значения с помощью этого алгоритма.
Еще одно довольно интересное пересечение с другим вредоносным ПО мы нашли при анализе адреса электронной почты в записке. Оказалось, что этот адрес уже использовался ранее, но не в вайперах: он содержался в нескольких образцах шифровальщиков (например, MD5: 4A42F739CE694DB7B3CDD3C233CE7FB1, 71D9E6EE26D46C4DBB3D8E6DF19DDA7D, 0C6D33DA653230F56A7168E73F1448AC). Два из них относятся к программам-вымогателям хорошо известного семейства Trojan-Ransom.Win32.Xorist, третий является не получившим большой известности образцом из семейства Trojan-Ransom.MSIL.Agent. Самый ранний образец, использующий этот адрес, датирован серединой июня 2017 года.
Заключение
CryWiper позиционирует себя как программа-вымогатель, то есть утверждает, что файлы жертвы зашифрованы и в случае оплаты выкупа их можно восстановить. Однако это обман: на самом деле данные уничтожены и вернуть их нельзя. Деятельность CryWiper в очередной раз показывает, что оплата выкупа не гарантирует восстановление файлов.
Во многих случаях причиной инцидентов с вайперами и вымогательским ПО становится недостаточная защищенность сети, и именно на усиление защиты следует обращать внимание. Мы предполагаем, что число кибератак, в том числе с использованием вайперов, будет расти — во многом из-за нестабильной ситуации в мире. Поэтому снизить вероятность компрометации и потери данных при атаках вайперов и шифровальщиков поможет следующее.
- Защитные решения с возможностью поведенческого анализа файлов, выявляющие и блокирующие вредоносное ПО, — например, KES.
- MDR— и SOC-сервисы, позволяющие своевременно обнаружить вторжение и принять меры по реагированию.
- Динамический анализ почтовых вложений и блокировка вредоносных файлов и URL-адресов. Это затруднит атаки по электронной почте — одному из наиболее распространенных векторов. Такая функциональность есть, например, в Kaspersky Anti Targeted Attack (KATA).
- Проведение регулярных тестирований на проникновение и RedTeam-проектов. Это поможет выявить уязвимые места инфраструктуры организации, защитить их и тем самым значительно уменьшить поверхность атаки для злоумышленников.
- Мониторинг данных об угрозах. Для своевременного обнаружения и блокировки вредоносной активности необходимо располагать актуальной информацией о тактиках, инструментах и инфраструктуре злоумышленников. Для этого нужны потоки данных об угрозах, например Kaspersky Threat Data Feeds.
IoC
14808919a8c40ccada6fb056b7fd7373 — Trojan-Ransom.Win64.CryWiper.a
c:\windows\system32\browserupdate.exe — путь к образцу троянца в системе
hxxp://82.221.141.8/IYJHNkmy3XNZ — сервер C&C
Вайперы атакуют | ComNews
Как показали результаты глобального исследования Positive Technologies, в I квартале 2022 г. количество атак увеличилось на 14,8% по сравнению с предшествующим периодом. Это стало прямым следствием обострения киберпротивостояния между различными странами. Чаще всего атакам подвергались государственные и медицинские учреждения, а также промышленные компании. Также в пятерку наиболее часто атакуемых отраслей попали СМИ. На них приходилось около 5% атак.
«Приоритеты хакеров остаются прежними: государственные структуры, крупный бизнес, популярные СМИ, застройщики, социальные организации. Отдельно выделяем рост различных атак на медиаресурсы: например, в феврале 2022 г. число DDoS-атак на медиаресурсы в России выросло в 43 раза по сравнению с январем. По данным статистики Kaspersky Anti-Targeted Attack Platform, наблюдается восходящий тренд по количеству организаций, подвергшихся вредоносным почтовым рассылкам. Так, по сравнению с январем этого года в феврале таких организаций стало больше на 12%, в марте — на 33%. Количество уникальных вредоносных объектов в рассылках в феврале выросло на 128%, в марте — на 249%. Больше всего таких рассылок наблюдается в России, но рост зафиксирован также в Швейцарии, Казахстане и других странах, — такой статистикой делится эксперт по кибербезопасности «Лаборатории Касперского» Денис Паринов. — Атаки в отношении частных лиц, конечно, остаются более массовыми, но злоумышленников все в большей степени интересуют атаки на организации, в том числе с применением зловредов-стирателей, или вайперов. Часто цель хакеров — денежный выкуп. Очевидно, что он будет намного больше, если получить его от крупных коммерческих организаций или госструктур. Еще одна популярная цель — нарушение деятельности организации. Яркий пример — атака на Rutube. Также отметим недавнее выявление экспертами «Лаборатории Касперского» двух критических уязвимостей в продукте для видео-конференц-связи TrueConf Server, использовавшихся злоумышленниками».
Чаще всего в результате атак организации сталкиваются с утечкой конфиденциальной информации (45%) и нарушением основной деятельности (30%). В атаках на частные лица чаще всего скомпрометированы конфиденциальные данные (55%), также пользователи могли понести финансовые потери (25%). Также заметно увеличилась доля атак на веб-ресурсы, до 22% от общего количества по сравнению с 13% в IV квартале 2021 г.
«В России ландшафт угроз представлен широким спектром инцидентов: различное «массовое» ВПО, DDoS, фишинг и социальная инженерия, таргетированные атаки. По ряду векторов действительно наблюдается заметное увеличение числа атак. В I квартале 2022 г. количество DDoS-атак выросло в 4,5 раза относительно прошлогодних показателей за тот же период и в 1,5 раза относительно IV квартала 2021 г. По России эти цифры составили 4,43 и 1,45 раза соответственно. В этот же период продукты и технологии «Лаборатории Касперского» защитили от атак шифровальщиков 74 694 пользователя. В марте этого года наши защитные решения обнаружили рекордное количество вредоносного программного обеспечения в почтовом трафике пользователей — более 19 млн срабатываний», — так прокомментировал изменение ландшафта угроз в начале текущего года Денис Паринов.
Аналитики Positive Technologies отмечают снижение доли атак шифровальщиков по сравнению с IV кварталом 2021 г. с 53% до 44%. Это связывают с тем, что часть группировок вымогателей переходят на промышленный шпионаж и отказываются от уничтожения данных. Но при этом некоторые из шифровальщиков, напротив, переориентировались на уничтожение инфраструктуры. Также растет число атак вайперов, которые уничтожают данные.
Основным каналом распространения вредоносного ПО при атаках на компании стала электронная почта (52%) и компрометация оборудования (35%). Что касается атак на частных лиц, то большая часть зловредов проникала на компьютеры и прочие устройства жертв через веб-сайты (34%), электронную почту (20%), мессенджеры и СМС (17%), а также официальные магазины приложений (12%).
«В I квартале этого года мы наблюдали увеличение количества атак с использованием вайперов — вредоносного ПО для удаления данных: для организаций их доля составляет 3%, а для частных лиц — 2%, — говорит аналитик исследовательской группы Positive Technologies Екатерина Семыкина. — Среди таких очистителей данных, получивших распространение в I квартале, можно отметить WhisperGate, HermeticWiper, IsaacWiper, DoubleZero, CaddyWiper. Интересно, что в ряде случаев такое ВПО имитировало атаку программы-вымогателя: жертвам даже были отправлены сообщения с информацией о выкупе, однако ключи дешифрования предоставлены не были, а данные необратимо повреждены. Способы распространения вайперов разнообразны: например, HermeticWiper распространялся через сетевого червя, а DoubleZero содержался в архивах, распространяемых в целевых фишинговых атаках. В случае с CaddyWiper злоумышленники обычно уже имели доступ к скомпрометированным сетям организаций. Чтобы не стать жертвой вайперов, мы рекомендуем проверять все файлы в виртуальной среде — песочнице и изолировать критически важные для бизнеса сегменты сети».
В «Лаборатории Касперского» также назвали вайперы одной из наиболее серьезных угроз. «В I квартале 2022 г. мы обнаружили восемь новых семейств шифровальщиков и 3083 новых модификации зловредов этого типа. В феврале обнаружено новое вредоносное ПО, осуществляющее атаки с целью уничтожения файлов. Два зловреда — троянец HermeticWiper, уничтожающий данные, и шифровальщик HermeticRansom использовались в кибератаках на Украине. Также в феврале украинские системы подверглись атакам другого троянца под названием IsaacWiper, а в марте — третьего, CaddyWiper. Целью данных семейств вредоносного ПО было, судя по всему, выведение из строя зараженных компьютеров без возможности восстановления файлов. Отмечаем общую тенденцию на увеличение числа supply chain attacks через open source, рост числа DDoS-атак, утечек данных, фишинга», — информирует Денис Паринов.
10 фактов о гадюках
Обновлено 01 ноября 2017 г.Гадюки (Viperidae) — семейство, насчитывающее более 200 видов ядовитых змей. Гадюки отличаются своими длинными шарнирными клыками, которые позволяют глубоко проникать яду в жертву. Существует четыре подсемейства гадюковых змей: гадюки Феи (Azemiopinae), ночные гадюки (Causinae), гадюки (Crotalinae) и настоящие или безямчатые гадюки (Viperinae).
1. Клыки гадюки полые
У гадюки два полых клыка в передней части рта, соединенные с вращающейся верхнечелюстной костью. Это позволяет клыкам подворачиваться к нёбу, когда они не нужны. Находясь там, они окружены перепончатой оболочкой. Отдельные клыки могут вращаться вместе друг с другом или по отдельности.
2. Гадюки нападают с открытым ртом в целях самообороны
Змея может открыть рот почти на 180 градусов, чтобы ударить свою жертву. Клыки вращаются в последний момент, чтобы избежать повреждений. При нападении в целях самообороны змея может нанести сухой укус без какого-либо яда.
3. Их вертикальные зрачки пропускают свет
У большинства гадюк вертикально овальные зрачки, размеры которых могут сильно различаться: от широко открытых до почти закрытых. Это позволяет змее видеть в широком диапазоне уровней освещенности.
7. У гадюк уникальное телосложение
Почти у всех гадюк килевидная чешуя, то есть ребристая, а не гладкая. Они имеют толстое телосложение и короткий хвост. Ядовитые железы гадюки расположены к задней части верхней челюсти, в результате чего у гадюки голова треугольной формы, отличимая от шеи. Большинство рожают живых детенышей, хотя некоторые откладывают яйца.
8. Они живут повсюду
Гадюки существуют во всех частях света, кроме Антарктиды, Австралии, Ирландии, Новой Зеландии, Мадагаскара, Гавайев и некоторых уединенных островов за Полярным кругом. В Великобритании единственная ядовитая змея — гадюка.
9. Инъекция яда – выбор
Гадюка может решить, сколько яда она вводит. Змея основывает это на размере и виде своей добычи, а также на том, намерена ли она удержать добычу.
10. Существует несколько видов гадюк
Каждый вид гадюки имеет отличительные характеристики, такие как форма головы, сила, время активности и размер. Обычно гадюки питаются грызунами, мелкими птицами, ящерицами, лягушками и другими мелкими животными, распространенными в их регионе. То, как они находят и нападают на свою добычу, зависит от того, к какому подсемейству принадлежит гадюка.
Гадюка Феа
Считающаяся самой примитивной из гадюк, гадюка Феа имеет более короткие клыки, чем у других подсемейств, и несколько приплюснутую голову. Эти змеи населяют Мьянму, юго-восточный Тибет, южный Китай и северный Вьетнам.
Ночная гадюка
Встречается только в Африке к югу от Сахары, в отличие от названия, ночная гадюка на самом деле активна днем и ночью. Они способны поднимать переднюю часть тела над землей, свернувшись в клубок, чтобы наброситься на добычу.
Змеиные ямы
Змеиные ящерицы получили свое название из-за чувствительных к теплу ямочных органов с обеих сторон головы, между ноздрей и глазом. Это позволяет им отслеживать добычу с помощью изображений инфракрасного излучения.
Настоящие или безгрудные гадюки
Эти гадюки крупнее гадюк других подсемейств, достигая максимальной длины более 6,5 футов. Они обитают в Европе, Азии, Африке и за Полярным кругом.
Ссылки
- Британская энциклопедия: Viper
Фото Кредиты
Фото: Что такое гадюки?
- Этот фотопост создан благодаря партнерству Mongabay с блогом Wild View Общества охраны дикой природы.
- В рамках этого партнерства мы время от времени публикуем оригинальные материалы Wild View, в которых освещаются виды или группы животных.
- В этом посте менеджер коллекции герпетологии Общества охраны дикой природы Кевин Торрегроса пишет о гадюках.
- Фотографии штатного фотографа WCS Джули Ларсен Махер.
Когда многие люди думают о змеях, они представляют себе ядовитых змей с огромными клыками, большими ромбовидными головами и кошачьими глазами. Видение на самом деле исходит из реалистичного внешнего вида гадюк. Эта группа из более чем 300 видов змей обладает большими головами, отличными от шеи (ромбовидные), самыми большими клыками среди всех ядовитых змей и эллиптическими зрачками (кошачьими). Эти характеристики могут показаться кошмаром офидиофобии, но на самом деле они являются важными адаптациями для этой группы змей в их экосистеме. Форма их головы вмещает большие ядовитые железы, используемые для выведения из строя их добычи. Их клыки настолько велики, что при закрытии они прижимаются к нёбу. Эти значительные клыки гарантируют доставку яда, и их пища не ускользнет. Их эллиптические зрачки могут расширяться, пропуская больше света, чтобы лучше видеть в темноте. Их черты идеально подходят для того, чтобы эти засадные хищники подстерегали прекрасную возможность нанести удар по ничего не подозревающим животным-жертвам.
Медноголовый (Agkistrodon contortrix laticintus). Медноголовые встречаются на востоке США и в некоторых частях Северной Мексики. Яд медянки используется в исследованиях для борьбы с раком. Фото Джули Ларсен Махер. Бушмастер (Lachesis muta). Родом из Центральной и Южной Америки, бушмастер — самая крупная из гадюк. Это также единственная гадюка в Америке, которая откладывает яйца. Эта гадюка является частью Плана выживания видов (SSP), программы, управляемой совместно с Ассоциацией зоопарков и аквариумов (AZA), которая контролирует управление популяциями отдельных видов с учреждениями-членами AZA, такими как зоопарк Бронкса WCS. Фото Джули Ларсен Махер. Восточная гремучая змея (Crotalus adamanteus). Найденная на юго-востоке США, это самая крупная ядовитая змея в Северной Америке. Фото Джули Ларсен Махер.Однако приспособление гадюк к выживанию, возможно, породило поколения людей с иррациональным страхом перед змеями; эти змеи не держат зла на людей. Они просто хотят делать то, что делали последние 60 миллионов лет. Они хотят выжить.
Гремучая змея острова Аруба (Crotalus durissus unicolor). Эту гремучую змею можно найти только на небольших участках пустынной среды обитания на острове Аруба. Это одна из самых редких гремучих змей в мире. Этот вид находится под угрозой исчезновения, но недавние усилия по обучению и связям с общественностью в рамках программы SSP дали положительный эффект. Фото Джули Ларсен Махер. Тимбер Гремучая змея (Crotalus horridus). Этот вид, обитающий в восточной части США от северной Флориды до Канады, собирается вместе с десятками других гремучих змей, а также других рептилий в берлогах, чтобы пережить зимние месяцы. Фото Джули Ларсен Махер. Гремучая змея острова Санта-Каталина (Crotalus catalinensis). Встречающийся только на острове Санта-Каталина в Калифорнийском заливе у побережья Мексики, этот вид известен как «беспогремушка» из-за того, что, хотя он рождается с первой пуговицей погремушки, он никогда не добавляет к погремушка.