Очень грязные дела: эксперты F.A.С.С.T. обнаружили новую группу вымогателей — Muliaka
F.A.C.C.T., разработчик технологий для борьбы с киберпреступлениями, обнаружил новую преступную группу вымогателей Muliaka. Злоумышленники атакуют российские компании как минимум с декабря 2023 года. В одной из атак для распространения программы-вымогателя в сети жертвы и для ее запуска на хостах Windows атакующие воспользовались популярным корпоративным антивирусом. Об этом CNews сообщили представители F.A.C.C.T.
В январе 2024 г. одна из российских компаний была атакована новой преступной группой вымогателей — в результате у жертвы были зашифрованы Windows-системы и виртуальная инфраструктура VMware ESXi.
Период с момента получения доступа к ИТ инфраструктуре жертвы до начала шифрования данных занял у атакующих около двух недель. В ходе расследования специалисты F.A.C.C.T. выяснили, что для удаленного доступа к ИТ-инфраструктуре жертвы атакующие использовали VPN-сервис компании, а для перемещения по узлам инфраструктуры службу удаленного управления WinRM (Windows Remote Management).
Специалисты «Лаборатории компьютерной криминалистики» компании F.A.C.C.T. назвали новую группу Muliaka, использовав в качестве нейминга часть имени аккаунта электронной почты kilamulia@proton.me, которую вымогатели оставляют для связи с жертвой, и южнорусское слово «муляка», обозначающее грязную мутную воду.
Для распространения своей программы-вымогателя в сети жертвы и для ее запуска на хостах Windows атакующие воспользовались установленным корпоративным антивирусным программным обеспечением. Для удаленного запуска шифровальщика злоумышленники создали инсталляционный пакет (см. рис.) и соответствующую задачу. Надо отметить, что при наличии установленного антивируса в ИТ-инфраструктуре жертвы продвинутые атакующие все чаще предпочитают использовать этот продукт для скрытного и эффективного продвижения по сети.
Любопытно, что перед шифрованием злоумышленники запускали на хостах вспомогательный PowerShell-скрипт Update.ps1, который предназначен для остановки и запрета служб баз данных и резервного копирования, удаления точек восстановления и теневых копий томов, он же отключает сетевые адаптеры на хосте, и тем самым, отключает хост от сети. Напомним, что подобную технику ранее использовала группа вымогателей OldGremlin.
Наибольший интерес у криминалистов вызвали стоящие на вооружении у группы Muliaka программы-вымогатели. Например, шифровальщик для Windows был разработан основе утекших в публичный доступ исходных кодов вымогателя Conti 3, однако представляет собой одну из наиболее интересных его модификаций.
Шифрование файлов осуществляется в два прохода. Это сделано для того, чтобы при первом проходе максимально быстро заблокировать данные жертвы, а при втором – максимально усложнить возможность их расшифровки и восстановления без оплаты выкупа.
Образец программы-вымогателя для ESXi на хостах жертвы не удалось найти, он был удален атакующими. Однако полученной информации было достаточно, чтобы найти другие образцы программ-вымогателей для Windows и ESXi. Два месяца назад образец программы-вымогателя для ESXi был загружен на портал VirusTotal и до сих пор не детектируется ни одним антивирусным вендором. Примечательно, что практически все найденные образцы были загружены на портал VirusTotal из Украины.
«Специалисты F.A.C.C.T. подключились к расследованию атаки группы Muliaka уже на этапе восстановления сотрудниками компании своей ИТ-инфраструктуры. Атакующие использовали VPN жертвы, но являлся ли он начальным доступом, на данный момент точно не установлено. Нельзя исключать использование в качестве начального вектора атаки уязвимостей в публичных приложениях или фишинг, — сказал Антон Величко, руководитель «Лаборатории компьютерной криминалистики» компании F.A.C.C.T. — По нашим данным, группа активна как минимум с декабря 2023 г. и ее жертвами являются исключительно российские компании. Действия атакующих можно характеризовать как достаточно квалифицированные, после себя они оставляют минимальное количество следов».
***
F.A.C.C.T. — Fight Against Cybercrime Technologies — российский разработчик технологий для борьбы с киберпреступлениями, поставщик решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети. F.A.C.C.T. создана для работы на рынках России и СНГ путем выделения в автономную структуру бывшего российского актива международной компании Group-IB. В основе технологического лидерства F.A.C.C.T. — 20-летний практический опыт исследований киберпреступлений по всему миру и более 70 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT. Решения компании основаны на знаниях, полученных в ходе реагирований на инциденты и исследований киберпреступности. Они обеспечивают защиту от киберрисков, связанных с целевыми атаками, утечками данных, мошенничеством, фишингом, нелегальным использованием бренда. Продукты F.A.C.C.T. входят в Реестр Отечественного ПО.