Банковский шифровальщик требует выкуп, но готов обучить жертву азам безопасности

Эксперты Sophos обнаружили нового шифровальщика, который старается атаковать всю локальную сеть сразу, и выявили «отчетливую корреляцию» между его появлением и заражениями троянцами Qbot и Emotet.

Всю сеть разом

Новый шифровальщик MegaCortex атакует корпоративные сети и рабочие станции в них, распространяясь через контроллеры доменов Windows.

Заражение, по данным компании Sophos, носит иезуитский сложный характер, и экспертам до сих пор не удалось выяснить, каким образом происходит первичное проникновение вредоноса в сеть. Собранная статистика заражений указывает, что MegaCortex чаще всего проявляется в сетях, где уже находятся банковские троянцы Qbot и Emotet, который сам по себе в последние годы эволюционировал в платформу доставки других вредоносных программ и обзавелся функциями «червя».

Жертвы заражений указывают, что атака начинается из скомпрометированного доменного контроллера: злоумышленники, используя украденные административные реквизиты, запускают некий скрипт PowerShell, защищенный тройной обфускацией (запутыванием кода). Устранив ее, эксперты обнаружили серию команд, которые «декодируют сгусток данных, зашифрованных алгоритмом base64». Этот сгусток при ближайшем распространении оказался «скриптом CobaltStrike, который открывает обратный шелл Meterpreter для входа в сеть жертв».

Далее по машинам, располагающимся в Сети, распространяется копия утилиты PsExec, предназначенной для удаленного запуска процессов на других машинах, batch-файл, осуществляющий закрытие процессов и служб Windows, и основной файл шифровальщика winnit.exe.

Хитрый банковский троянец Emotet заряжает корпоративные сети шифровальщиком

Batch-файл, выявленный Sophos, нейтрализует 44 различных процессов и 199 служб Windows, которые могут помешать запуску шифровальщика. Среди прочего останавливаются процессы браузеров, почтовых клиентов, офисных программ и, разумеется, антивирусов.

Основной файл шифровальщика скачивает и запускает DLL-файл с названием, состоящим из случайных букв, и запускает процесс шифрования.

Имеются также свидетельства, что параллельно злоумышленники используют другие batch-файлы с названиями от 1.bat до 6.bat, которые применяются для дальнейшего распространения и запуска вредоносных компонентов по локальной сети.

После шифрования ко всем атакованным файлам добавляется расширение, идентичное названию DLL-шифровальщика, а также файл с тем же наименованием и расширением TSV, а также текстовое послание с требованием выкупа и, что характерно, обещанием дать рекомендации по улучшению кибербезопасности компании.

В этом послании указывается, что TSV-файлы содержат «шифрованные ключи сессии», необходимые злоумышленникам для восстановления доступа к файлам.

Берегитесь спама

В бюллетене Sophos указывается, что MegaCortex не распространяется со спамом, но, вероятнее всего, привносится в локальную сеть троянцами, основной инструмент распространения которых — как раз-таки спам. Эксперт Sophos рекомендуют специально обучать работников компаний определять, что является спамом, а что нет, и не полагаться только на технические защитные меры.

«Вредонос пытается отключать антивирусные средства прежде чем начинает шифровать файлы, соответственно, очень важно не допустить начала процесса шифрования, а значит — предотвратить попадание в сеть троянцев Qbot и Emotet, — считает Александр Хамитов, эксперт по информационной безопасности компании SECConsultServices. — Однако единственный гарантированный способ застраховаться от шифровальщика — это обеспечить эффективное “холодное” резервное копирование всех данных».

Эксперт также отметил, что не стоит забывать и про более традиционные меры защиты локальных сетей. В частности, злоумышленники не должны иметь возможности легко и просто получать административный доступ к контроллерам домена.