Безпечна інтеграція в майбутнє


Безпечна інтеграція в майбутнє

Як RansomHub залучає злочинців для поширення програм-вимагачів

Майстер-клас: секрети випікання найсмачніших млинців!

13.08.2024

У лютому 2024 року з'явилася нова платформа RansomHub, яка надає послуги ransomware-as-a-service (RaaS), діяльність якої спрямована на системи Windows, Linux та ESXi. Використовуючи шкідливе програмне забезпечення, написане мовами Go та C++, RansomHub швидко здобула популярність поміж злочинців. Платформа пропонує афіліатам ставку комісії 90%, вищу за звичайний діапазон 80–90%. Це ймовірно привертає досвідчених зловмисників з інших платформ і призводить до збільшення кількості інфікованих систем, пов'язаних з RansomHub.
Ця стаття підготована в межах колаборації IT Specialist та «CLICO Україна», компанією-дистриб’ютором продуктів у сфері кібербезпеки, мережевих технологій та управління. Матеріал включає скорочені висновки зі звіту Recorded Future, міжнародної компанії, що спеціалізується на розвідці кіберзагроз. 

Що таке RansomHub?

RansomHub — це складна платформа RaaS, розроблена для експлуатації вразливостей різних операційних систем. Вона націлена на системи Windows, Linux та ESXi, що робить її універсальним інструментом для кіберзлочинців. Використання мов програмування Go та C++ дозволяє досягти високої ефективності та надійності шкідливого програмного забезпечення.
З моменту запуску, RansomHub вразила 45 жертв у 18 країнах, причому найбільша активність спостерігається в ІТ-секторі. Афіліати RansomHub часто займаються «великим полюванням», націлюючись на високоцінні об'єкти, які ймовірніше призведуть до виплати значного викупу через серйозні фінансові наслідки від простою або втрати даних. У одному з відомих випадків афіліати RansomHub використовували неправильні налаштування екземплярів Amazon S3 для доступу до резервних копій не лише своєї основної цілі, а й інших клієнтів, що використовують того ж провайдера резервних копій.
Нещодавно RansomHub привернув увагу продажем 4 ТБ даних, викрадених у Change Healthcare, американської компанії з технологій охорони здоров'я. Це свідчить про здатність платформи завдавати значної шкоди та вилучати цінні дані з цільових організацій.

Аналіз типових загроз RansomHub для Mac, Windows та Linux

Аналіз групи Recorded Future Insikt показав збіг коду злочинців з RansomHub та інших груп, такими як ALPHV (BlackCat) і Knight Ransomware. Ці схожості вказують на можливі зв'язки чи спільне використання ресурсів злочинними об’єднаннями. Стратегія RansomHub з використання паролів для розшифрування вбудованих конфігурацій ускладнює аналіз шкідливого програмного забезпечення динамічними методами для дослідження загроз.
Група Insikt отримала три зразки RansomHub та інструмент smbexec.exe, який надається афіліатам RansomHub для поширення злочинного ПЗ через протокол server message block (SMB). Ці три зразки програм-вимагачів призначені для атак на Windows, Linux та ESXi.
Версія RansomHub для ESXi використовує унікальну тактику, створюючи файл під назвою /tmp/app.pid для запобігання одночасного запуску кількох екземплярів. Зміна цього файлу може призвести до припинення роботи програми-вимагача, що є потенційною стратегією зменшення наслідків для уражених систем.
Командні аргументи
Кожен з трьох варіантів RansomHub вимагає аргумент -pass при запуску. Це значення розшифровує вбудовану конфігурацію, яка надає інструкції для конкретного зразка RansomHub. Якщо введено неправильний пароль, RansomHub не виконується належним чином і виводить повідомлення «bad config» на консоль.
КонфігураціяКлючі конфігурації однакові для всіх трьох варіантів. Особливості кожної ОС містяться в ключі конфігурації settings, який описується в розділі кожного варіанту.
Ключі конфігурації:
● master_public_key: Публічний ключ Curve25519, використовується для шифрування файлів.● extension: Розширення, що додається до зашифрованих файлів; за замовчуванням – перші шість символів публічного ключа.● note_file_name: Ім'я файлу викупного листа; за замовчуванням README_<перші шість символів публічного ключа>.txt.● note_full_text: Повний текст викупного листа; за замовчуванням – у Додатку B.● note_short_text: Скорочена версія викупного листа; за замовчуванням – "Your data is stolen and encrypted, see README_<перші шість символів публічного ключа>.txt."● settings: Містить специфічні для ОС налаштування, наприклад, у Windows налаштування kill_processes і kill_services, що вказують на зупинку відповідних процесів і служб.
Метод шифрування програм-вимагачів
ESXiКожен файл у цільових директоріях обробляється окремим потоком. Використовується ChaCha20 шифрування з Curve25519 для генерації «жертв» публічного та приватного ключів. /dev/urandom генерує 32-байтовий ChaCha20 nonce і 32-байтовий спільний секрет. Зашифрований файл містить 113-байтовий футер з публічним ключем жертви, ChaCha20 nonce, зашифрованою кількістю блоків і публічним ключем зловмисника.
Windows та LinuxВаріанти для Windows та Linux використовують goroutines для прискорення процесу шифрування. Вони порівнюють файли з чорним списком папок і файлів, пропускаючи ті, що збігаються. Шифрування файлів проходить такі етапи:
1. Перейменування файлу на filename.<налаштоване розширення>;2. Генерація випадкового 32-байтового числа для приватного ключа;3. Створення першого ECDH спільного секрету з edwards25519;4. Генерація AES ключа для шифрування файлу з використанням другого ECDH спільного секрету;5. Генерація другого випадкового 32-байтового числа для IV для AES шифрування;6. Шифрування файлу за допомогою AES у CTR режимі;7. Запис зашифрованого вмісту та додавання футера.
Варіант RansomHub для WindowsЗразок Windows підтримує такі командні аргументи:
● -disable-net: Вимикає мережу перед запуском.● -host: Обробляє лише SMB хости всередині визначеного хоста.● -only-local: Шифрує лише локальні диски.● -pass: Пароль для конфігурації.● -path: Обробляє файли лише у визначених шляхах.● -safeboot: Перезапуск у безпечному режимі перед запуском.● -safeboot-instance: Запуск як екземпляр у безпечному режимі.● -sleep: Відкладений запуск.● -verbose: Логування на консоль.
АналізПри аналізі зразка RansomHub з правильними командними аргументами, можна побачити наступний потік виконання:
● powershell.exe -Command "Get-VM | Stop-VM -Force": Зупинка віртуальних машин.● cmd.exe /c iisreset.exe /stop: Зупинка служб IIS.● powershell.exe -Command "Get-CimInstance Win32_ShadowCopy | Remove-CimInstance": Видалення тіньових копій.

Заходи мінімізації ризиків

Група Insikt розробила правила YARA та Sigma, які можуть використовуватися для виявлення присутності чи діяльності RansomHub у вашому середовищі. Ці правила охоплюють варіанти для ESXi, Linux та Windows. Крім того, аналітики можуть перевіряти логи кінцевих точок на наявність запусків командного рядка, які використовуються RansomHub для зупинки віртуальних машин, видалення тіньових копій та зупинки служби Internet Information Service (IIS).
Команди, які слід моніторити:
● powershell.exe -Command PowerShell -Command ""Get-VM | Stop-VM -Force""● cmd.exe /c iisreset.exe /stop● powershell.exe -Command PowerShell -Command ""Get-CimInstance Win32_ShadowCopy | Remove-CimInstance""

Найкращі практики для захисту організацій

Щоб ефективно знизити ризик зараження програмами-вимагачами, організаціям слід дотримуватися наступних загальних рекомендацій:
● Ізоляція мережі — сегментуйте вашу мережу для обмеження латерального руху програм-вимагачів.● SIEM — впровадьте систему управління інформацією про безпеку та події для централізованого логування та виявлення.● Виявлення на кінцевих точках — використовуйте EDR з правилами YARA та Sigma.● Мінімальні привілеї доступу — впровадьте мінімальні привілеї доступу та багаторівневу аутентифікацію для служб віддаленого доступу.● Регулярне резервне копіювання — проводьте регулярне резервне копіювання та зберігайте резервні копії в офлайн або ізольованих сегментах.● Оцінка провайдерів — співпрацюйте з провайдерами послуг кібербезпеки для постійних аудитів систем.● Управління виправленнями — підтримуйте всі програмні застосунки та операційні системи в актуальному стані з останніми виправленнями та оновленнями.● Recorded Future Hunting Packages — використовуйте правила YARA та Sigma, подібні тим, що містяться в Recorded Future Hunting Packages для виявлення шкідливих програм за допомогою сигнатурного виявлення або правил Snort для виявлення на кінцевих точках.

Рекомендації та висновки

Отже, RansomHub є однією з найновіших та найнебезпечніших платформ ransomware-as-a-service, яка активно експлуатує вразливості різних операційних систем, таких як Windows, Linux та ESXi. Від цієї платформи постраждали вже десятки найбільших організацій, оскільки злочинці обирають стратегію «великого полювання». 
Для ефективної протидії загрозам, пов'язаним з RansomHub, дослідники рекомендують впроваджувати комплексні заходи кібербезпеки, такі як використання правил YARA та Sigma для виявлення присутності програм-вимагачів, регулярне резервне копіювання, сегментація мережі, впровадження систем управління інформацією про безпеку та події (SIEM), а також використання мінімальних привілеїв доступу.
Для ознайомлення з повним звітом Recorded Future.

Illustration


Зателефонувати

+38 (044) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124

Illustration


Зателефонувати

+38 (044) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124