РУССКИЙ

ENGLISH

29.06.2022

Кошелек или жизнь

Разбираем партнерскую программу вымогателя BlackCat

Андрей Жданов

Главный специалист по анализу вредоносного кода и проактивному поиску киберугроз Лаборатории цифровой криминалистики Group-IB

Олег Скулкин

Руководитель Лаборатории цифровой криминалистики Group-IB

В популярном советском фильме «Место встречи изменить нельзя» следователи Московского уголовного розыска внедряют агента в банду «Черная кошка» и арестовывают всех участников шайки. Образ этой неуловимой и жестокой банды, оставлявшей на месте преступления свою визитную карточку — рисунок черной кошки — собирательный. После войны в Москве орудовали несколько группировок, совершавших вооруженные налеты, грабежи и убийства. Скрываясь от следствия, разбойники нередко переходили из одной разгромленной банды в другую или создавали новые.

Нечто подобное мы часто видим и у киберпреступников. Несмотря на многочисленные аресты людей, причастных к деятельности программ-вымогателей, а также закрытие некоторых партнерских программ, ransomware по-прежнему остается киберугрозой №1. Атаки шифровальщиков продолжаются по всему миру, а теневые форумы все так же пестрят объявлениями о продаже «доступов» и найме «пентестеров».

Сейчас у специалистов уже нет сомнений, что бывшие участники DarkSide, BlackMatter и REvil стали костяком новой, более зрелой и изощренной (с учетом их накопленного опыта) партнерской программы ALPHV. Среди исследователей она получила неофициальное название BlackCat из-за использования двух логотипов: изображений черной кошки и окровавленного ножа. Позднее представители ALPHV пытались избавиться от романтики бандитизма, изменив дизайн логотипа, однако название BlackCat уже приклеилось к ним намертво.

Изображения, использовавшиеся ALPHV в начале из деятельности

Обновленный логотип

Несмотря на свою недолгую историю, эта группа за полгода совершила около 140 атак по всему миру и задала новый вектор в развитии криминального бизнеса, связанного с вымогательством. Многие партнерские программы, например Hive, стали подражать и активно перенимать методы и подходы BlackCat. Об особенностях данной партнерской программы, а также о том, как именно действуют партнеры, получив доступ в сети своих жертв, мы и расскажем в этом блоге.

INTRO от ALPHV

Деятельность ALPHV началась в декабре 2021 года, когда на теневых форумах запустилась рекламная кампания по привлечению новых участников в партнерскую программу:

Описание условий партнерской программы на одном из теневых форумов

В этой рекламной кампании будущим партнерам предлагалось принципиально новое семейство программ-вымогателей, разработанное с нуля на языке программирования Rust. Это популярный кросс-платформенный язык программирования, позволяющий создавать безопасные и эффективные прикладные и системные приложения. Использование Rust для создания программ-вымогателей стало знаковым событием в киберпреступном мире.

Описание семейства программ-вымогателей BlackCat

С самого начала работы новой RaaS стало очевидно, что создатели не новички в криминальном бизнесе. Причем они учли и негативный опыт своих предшественников — партнерских программ DarkSide, BlackMatter и REvil. После нашумевших кибератак на крупные компании эти группы попали под пристальное внимание исследователей и правоохранительных органов. Вместе с образцами они получали доступ к персональным страницам жертв, содержащим переписку со злоумышленниками, и нередко вмешивались в их коммуникации.

Информация об использовании токенов доступа

Чтобы избежать прошлых ошибок, авторы BlackCat добавили в программы-вымогатели обязательный параметр командной строки, который содержит так называемый токен доступа (access token). Владельцы RaaS предоставляют его партнерам вместе с комплектом программ-вымогателей. Из токена доступа программа-вымогатель вычисляет ключ доступа (access key), который добавляется к ссылке Tor — так жертва получает доступ к своей странице.

Содержимое текстового файла help, передаваемого партнерам RaaS

Эта ссылка сохраняется в записке с требованием выкупа, которая в виде текстового файла создается в каждом каталоге с зашифрованными файлами.

Текст записки с требованием выкупа

Если жертвы публикуют информацию из чата — партнеры BlackCat наказывают их за утечку, например увеличивают сумму выкупа. В начале своей деятельности, для устрашения будущих жертв, злоумышленники поступали еще более радикально: могли удалить ключи шифрования жертвы.

Информация об удалении ключей шифрования одной из жертв, опубликованная операторами BlackCat

Персональная страница жертвы

Партнеры BlackCat используют схему двойного и тройного вымогательства. Во-первых, похищенная информация публикуется на сайте утечек BlackCat (DLS, Dedicated Leak Site). Во-вторых, чтобы усилить давление на жертву, партнеры BlackCat могут угрожать передать чувствительную информацию конкурентам, партнерам или клиентам жертвы, средствам массовой информации, правоохранительным органам и т.п. И в-третьих, жертва может получать угрозы DDoS-атак на свою инфраструктуру.

Пример чата с жертвой

На момент написания этой статьи на DLS BlackCat были опубликованы похищенные документы 93 пострадавших компаний, которые отказались платить выкуп. По нашей оценке, общее количество жертв BlackCat с декабря 2021 года составляет порядка 140 компаний.

Так выглядит DLS BlackCat

Тактики, техники и процедуры партнеров BlackCat

Для реконструкции жизненного цикла атаки BlackCat мы используем унифицированные этапы атаки с использованием программ-вымогателей (The Unified Ransomware Kill Chain), описанные в книге Incident Response Techniques for Ransomware Attacks.

Получение первоначального доступа к ИТ-инфраструктуре

Так как в рамках одной партнерской программы могут работать разные злоумышленники, техники, используемые для получения первоначального доступа, иногда различаются. Кроме того, партнеры могут пользоваться услугами брокеров первоначального доступа, продающих доступы в скомпрометированную инфраструктуру компаний.

В рамках расследования инцидентов мы сталкивались со следующими техниками:

Эксплуатация публично доступных приложений

Из-за большого количества уязвимостей в самых разных приложениях, позволяющих выполнять произвольный код, данная техника в 2021 году обрела популярность как у партнеров, так и у брокеров первоначального доступа. В случае с BlackCat, атакующие проэксплуатировали набор уязвимостей, известный как ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). Это позволило им поместить веб-шелл на уязвимый сервер Microsoft Exchange и осуществить дальнейшую постэксплуатацию.

Использование средств удаленного доступа

Проникновение через публично доступные терминальные серверы остается самой популярной техникой первоначального доступа, и партнеры BlackCat также пользовались ими в некоторых случаях. Кроме терминальных серверов, злоумышленники получали доступ в целевую ИТ-инфраструктуру через VPN: многие организации все еще не используют мультифакторную аутентификацию, что позволяет вымогателям без труда пользоваться учетными записями, данные которых были заранее похищены, например при помощи стилеров.

Подготовка к развитию атаки

Получив первоначальный доступ, атакующие копируют на скомпрометированный хост набор инструментов или его часть, а также стремятся закрепиться и получить доступ к привилегированным учетным данным, чтобы иметь возможность продвигаться по сети.

Чтобы обеспечить себе дополнительные возможности доступа в скомпрометированную сеть, атакующие могут использовать как туннели, построенные при помощи ngrok или gost, так и легитимное программное обеспечение, например TeamViewer и ScreenConnect.

В некоторых случаях партнеры также использовали Cobalt Strike — фреймворк, который многие уже привыкли видеть при расследовании атак с использованием программ-вымогателей.

В большинстве инцидентов партнеры BlackCat полагались на легитимные инструменты, чтобы извлечь аутентификационные данные путем дампинга процесса LSASS (Local Security Authority Server Service). Например, злоумышленники использовали ProcDump, а также эксплуатировали функцию MiniDump легитимной библиотеки comsvcs.dll.

В некоторых случаях атакующие не ограничивались LSASS и использовали различные инструменты разработки NirSoft, чтобы извлечь аутентификационные данные из реестра, веб-браузеров и других хранилищ.

Сбор информации об ИТ-инфраструктуре

На этапе сбора данных партнеры зачастую не демонстрировали инновационных методов, полагаясь на ставшие классикой инструменты. Так, для сканирования сети атакующие использовали SoftPerfect Network Scanner — еще один инструмент, который активно применяют группы, вовлеченные в атаки с использованием вымогательского ПО.

Для сбора информации об Active Directory атакующие использовали инструмент, популярный среди партнеров REvil и BlackMatter, — ADRecon.

Кроме того, для сбора информации о доступных локальных и сетевых дисках применялся инструмент NS. Он был особенно популярен среди тех партнеров, которые использовали терминальные серверы для получения первоначального доступа.

Поиск ключевых узлов, продвижение по сети и эксфильтрация данных

Получив достаточные привилегии в ИТ-инфраструктуре, атакующие начинают продвигаться к ключевым узлам, которые позволят им выгрузить наиболее значимые данные и избавиться от резервных копий.

Для продвижения по сети партнеры могут использовать как абсолютно легитимные техники, например RDP, так и более «шумные», такие как Impacket (в частности wmiexec и smbexec) и Cobalt Strike.

Для доступа к части инфраструктуры под управлением Linux зачастую используется PuTTY.

Перед эксфильтрацией данные помещаются в архивы при помощи 7-Zip, после чего выгружаются на файлообменник MEGA через утилиту Rclone. Кроме того, в некоторых случаях партнеры использовали ExMatter — инструмент для эксфильтрации, ранее замеченный в арсенале участников партнерской программы BlackMatter.

Подготовка к развертыванию программы-вымогателя

Развертыванию программы-вымогателя BlackCat предшествует уничтожение доступных резервных копий или их шифрование, а также сбор дополнительных учетных данных, которые позволят атакующим поразить не только Windows, но и Linux-сегмент.

Несмотря на невысокий уровень детектируемости образцов BlackCat, некоторые партнеры стремятся отключить антивирусное программное обеспечение до перехода к этапу развертывания.

Развертывание программы-вымогателя

Распространение BlackCat по ИТ-инфраструктуре жертвы производится либо путем модификации групповых политик, в результате чего на каждом хосте создается задача в планировщике, запускающая вредоносный файл, либо средствами PsExec.

Сами программы-вымогатели разработаны на языке программирования Rust. Многие исследователи справедливо относят BlackCat к наиболее сложным и изощренным среди всех программ-вымогателей. Программы BlackCat имеют богатую функциональность и возможность гибкой индивидуальной настройки за счет использования разнообразных конфигурационных данных и аргументов командной строки.

Разработаны версии BlackCat для Windows (32bit) и Linux (32bit и 64bit). Версия для Linux 64bit нацелена прежде всего на серверы ESXi. В марте 2022 года вышла новая версия BlackCat — ALPHV MORPH. Авторы с гордостью заявили на теневых форумах, что благодаря обфускации эта версия практически не детектируются антивирусным ПО.

Описание функций ALPHV MORPHV на одном из теневых форумов

Ранее мы уже отмечали, что для запуска программ-вымогателей BlackCat требуется обязательно указывать значение токена доступа в параметре командной строки — access-token. В ранних версиях корректность значения токена доступа никак не проверяется, а ключ доступа вычисляется непосредственно по введенному значению токена. Программа будет запущена, а также будет проводиться шифрование файлов, но доступ к панели жертвы при этом будет невозможен. Однако в версии ALPHV MORPH первые 16 символов access token используются в качестве ключа для расшифровки конфигурационных данных, поэтому при их некорректном вводе программа-вымогатель не запустится.

Для обхода контроля учетных записей UAC (User Account Control) в BlackCat используется повышение привилегий с помощью COM-интерфейса ICMLuaUtil. Также для повышения привилегий может использовать метод "Masquerade PEB". Программы-вымогатели BlackCat могут осуществлять попытки аутентификации с использованием похищенных учетных записей, содержащихся в конфигурационных данных.

При запуске BlackCat разрешает символические ссылки с удаленного объекта на локальный и удаленный объекты:

fsutil behavior set SymlinkEvaluation R2L:1

fsutil behavior set SymlinkEvaluation R2R:1

Останавливает службы IIS, выполняя команду:

iisreset.exe /stop

Удаляет теневые копии разделов:

vssadmin.exe Delete Shadows /all /quiet

wmic.exe Shadowcopy Delete

Отключает восстановление в загрузочном меню Windows:

bcdedit /set {default}

bcdedit /set {default} recoveryenabled No

Очищает журналы событий Windows:

for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"

Также программа-вымогатель завершает процессы и останавливает службы, указанные в конфигурации.

Стоит отметить, что BlackCat для Windows может самостоятельно распространяться в локальной сети в качестве сетевого червя. Для этого используется содержащаяся в теле вымогателя легитимная утилита PsExec и похищенные учетные данные, указанные в конфигурации.

Шифрование файлов осуществляется многопоточно. Для шифрования содержимого файлов в зависимости от настроек могут использоваться алгоритмы AES 128 CTR или ChaCha20. Векторы nonce содержат 8 или 12 нулевых байтов соответственно. Также могут применяться различные режимы шифрования файлов — их краткое описание приведено ниже.

Доступные параметры командной строки

-h, --help;Отобразить справку о параметрах командной строки. -p, --paths <PATHS>…;Шифровать файлы по путям, указанным в данном параметре. -v, --verbose;Вывод отчета в консоль. --access-token <ACCESS_TOKEN>;Указать токен доступа (ACCESS_TOKEN). Применяется для формирования ключа доступа ACCESS_KEY, который используется при создании ссылки для доступа жертвы к своей персональной странице. В версиях ALPHV MORPH первые 16 символов ACCESS_TOKEN используются в качестве ключа для расшифровки (AES-128 CTR) конфигурационных данных программы-вымогателя. --bypass <BYPASS>…;Параметр не используется. --child;Запуск в качестве дочернего процесса. --drag-and-drop;Запуск в режиме Drag-and-drop. --drop-drag-and-drop-target;Извлечь BAT-файл, на который можно перетаскивать объекты для шифрования в режиме Drag-and-drop. Шаблон BAT-файла содержится в теле программы-вымогателя в запакованном виде (Deflate), в версиях ALPHV MORPH дополнительно шифруется (AES128 CTR). --extra-verbose;Вывод более подробного отчета. --log-file <LOG_FILE>;Вывод отчета в указанный файл. --no-net;Не шифровать файлы на доступных сетевых ресурсах. --no-prop;Не осуществлять свое самораспространение. Для самораспространения используется утилита PsExec и учетные данные, указанные в значении параметра "credentials" конфигурационных данных. Утилита PsExec содержится в теле программы-вымогателя в запакованном виде (Deflate), в ALPHV MORPH — еще и в зашифрованном виде (AES128 CTR). --no-prop-servers <NO_PROP_SERVERS>…;Список исключаемых при самораспространении серверов. --no-vm-kill;Не останавливать виртуальные машины. --no-vm-kill-names <NO_VM_KILL_NAMES>…;Список имен виртуальных машин, остановка которых не производится. --no-vm-snapshot-kill;Не уничтожать снимки виртуальных машин. --no-wall;Не обновлять обои рабочего стола. --propagated;Запуск в режиме самораспространения (червя). --ui;Запуск программы с графическим интерфейсом отображения процесса шифрования.

Конфигурационные данные BlackCat содержатся в теле программы-вымогателя в формате JSON. В ранних версиях BlackCat данные конфигурации содержались в открытом виде, но в последних версиях (ALPHV MORPH) хранятся уже в зашифрованном (AES-128 CTR). Для расшифровки в качестве ключа используются первые 16 символов токена доступа (access token). Если указанные символы введены некорректно, то запуск программы-вымогателя не может осуществиться из-за ошибки в конфигурационных данных.

Конфигурационные данные BlackCat в отформатированном виде

config_id;Идентификатор конфигурации. public_key;Открытый ключ шифрования RSA в формате DER в кодировке Base64. extension;Расширение зашифрованных файлов/идентификатор жертвы. note_file_name;Имя текстового файла с требованием о вымогательстве. note_full_text;Шаблон полного текста требования о вымогательстве. note_short_text;Шаблон краткого текста требования о вымогательстве, используется для создания обоев рабочего стола. default_file_mode (DotPattern, HeadOnly, SmartPattern, AdvancedSmartPattern, Full, Auto);Режим шифрования файлов по умолчанию. DotPattern — шифрование блоками через промежуток. HeadOnly — шифрование начальной области. SmartPattern — шифрование блоками через промежуток в процентном соотношении от размера файла. AdvancedSmartPattern — шифрование блоками через промежуток в процентном соотношении от размера файла с расширенными настройками. Full — полное шифрование содержимого файла. Auto — автоматический выбор способа шифрования файла в зависимости от его типа и размера. default_file_cipher (Best, Aes, ChaCha20);Алгоритм шифрования файлов по умолчанию. Best — при наличии аппаратной поддержки AES (AES-NI) осуществляется шифрование файлов с использованием AES-128 CTR, в ином случае — ChaCha20. credentials;Список похищенных учетных данных жертвы. kill_services;Список имен останавливаемых служб. kill_processes;Список подстрок имен завершаемых процессов. exclude_directory_names;Список пропускаемых при шифровании имен каталогов. exclude_file_names;Список пропускаемых при шифровании имен файлов. exclude_file_extensions;Список пропускаемых при шифровании расширений файлов. exclude_file_path_wildcard;Список масок путей пропускаемых при шифровании файлов. enable_network_discovery (true, false);Шифровать файлы на доступных сетевых ресурсах. enable_self_propagation (true, false);Распространять себя в сети (режим червя). Для распространения используется утилита PsExec и учетные данные, указанные в значении параметра "credentials". enable_set_wallpaper (true, false);Установить изображение с текстом о шифровании файлов в качестве обоев рабочего стола. enable_esxi_vm_kill (true, false);Останавливать виртуальные машины. enable_esxi_vm_snapshot_kill (true, false);Уничтожать снимки виртуальных машин. strict_include_paths;Список путей для шифрования файлов. esxi_vm_kill_exclude;Белый список имен виртуальных машин.

Необходимо отметить, что, несмотря на изощренность некоторых методов, многие тактики и техники, используемые партнерами BlackCat, могут быть легко обнаружены, что указывает на значительные недостатки внедренных в организациях средств защиты, а также на недостаток квалифицированных ИБ-специалистов.

Дополнительная информация

MITRE ATT&CK

TA0001 Initial Access;T1190 Exploit Public-Facing Application;Атакующие в ряде атак использовали набор уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). ;T1133 External Remote Services;В качестве начального вектора атаки могут использоваться незащищенные RDP и VPN. ;T1078 Valid Accounts;Партнеры BlackCat могут приобретать доступ к сетевой инфраструктуре жертвы на специализированных теневых площадках. TA0002 Execution;T1106 Native API;В программах BlackCat используются функции Native API. ;T1053 Scheduled Task/Job;Партнеры BlackCat при развертывании программы-вымогателя в сетевой инфраструктуре жертвы могут эксплуатировать групповые политики, в результате чего на каждом целевом хосте создается задача в планировщике для запуска программы-вымогателя. ;T1059.001 Command and Scripting Interpreter: PowerShell;Атакующие могут использовать скрипты PowerShell в процессе развертывания в сети жертвы, отключения средств безопасности и шифрования файлов. ;T1059.003 Command and Scripting Interpreter: Windows Command Shell;Программа-вымогатель BlackCat для остановки службы IIS, удаления теневых копий разделов, отключения восстановления, очистки журналов событий Windows и т.д. использует командную оболочку для запуска соответствующих команд. ;T1047 Windows Management Instrumentation;Атакующие могут использовать wmic для получения информации и выполнения различных команд, в том числе для удаления теневых копий разделов, а также использовать модуль wmiexec из Impacket для выполнения команд и дальнейшего продвижения по сети. ;T1569.002 System Services: Service Execution;Программа-вымогатель BlackCat для Windows может самостоятельно распространяться в локальной сети с помощью содержащейся в ее теле легитимной утилиты PsExec, которая создает временную системную службу. TA0003 Persistence;T1505 Server Software Component;Успешная эксплуатация уязвимостей из набора ProxyShell позволила атакующим поместить веб-шелл на уязвимый сервер Microsoft Exchange. ;T1078 Valid Accounts;Полученные атакующими легитимные учетные записи могут быть использованы для закрепления в скомпрометированной инфраструктуре. TA0004 Privilege Escalation;T1078 Valid Accounts;BlackCat для повышения привилегий может использовать похищенные легитимные учетные записи, указанные в конфигурационных данных. ;T1548.002 Abuse Elevation Control Mechanism: Bypass User Account Control;Программы-вымогатели BlackCat для обхода UAC могут повышать привилегии с помощью COM-интерфейса ICMLuaUtil, а также использовать метод "Masquerade PEB". ;T1134.002 Access Token Manipulation: Create Process with Token;Для повышения привилегий программа-вымогатель BlackCat может запускать свой процесс в контексте безопасности похищенных аутентификационных данных с помощью функции CreateProcessWithLogonW. TA0005 Defense Evasion;T1548.002 Abuse Elevation Control Mechanism: Bypass User Account Control;Атакующие могут осуществлять обход UAC с помощью COM-интерфейса ICMLuaUtil, а также использовать метод "Masquerade PEB". ;T1140 Deobfuscate/Decode Files or Information;BlackCat расшифровывает конфигурационные данные, а также расшифровывает и распаковывает содержащуюся в теле программы-вымогателя легитимную утилиту PsExec и дополнительный BAT-файл. ;T1027 Obfuscated Files or Information;В программах BlackCat используется обфускация. ;T1562.001 Impair Defenses: Disable or Modify Tools;Атакующие для предотвращения обнаружения завершают процессы и службы, связанные с безопасностью и антивирусным ПО. ;T1497 Virtualization/Sandbox Evasion;В ALPHV MORPH для противодействия анализу, в том числе и в песочнице, проверяется значение параметра командной строки access-token. В его значении должны быть указаны корректные первые 16 символов, которые используются для расшифровки конфигурационных данных BlackCat. ;T1070.001 Indicator Removal on Host: Clear Windows Event Logs;BlackCat с помощью wevtutil может очищать все журналы событий Windows на скомпрометированном хосте (Event Logs). ;T1036 Masquerading;Атакующие используют переименованный в svchost.exe исполняемый файл применяемого инструмента SoftPerfect Network Scanner. ;T1112 Modify Registry;BlackCat для своего распространения с помощью PsExec модифицирует параметр системного реестра MaxMpxCt для увеличения количества невыполненных сетевых запросов для каждого клиента. TA0006 Credential Access;T1003.001 OS Credential Dumping: LSASS Memory;Для получения аутентификационных данных атакующие могут осуществлять дампинг процесса LSASS с использованием легитимных инструментов (procdump, comsvcs.dll). ;T1552 Unsecured Credentials;Для получения аутентификационных данных из реестра и файлов атакующие могут использовать утилиты NirSoft. ;T1555 Credentials from Password Stores;Для извлечения аутентификационных данных из веб-браузеров и других хранилищ атакующие могут использовать утилиты NirSoft. TA0007 Discovery;T1018 Remote System Discovery;Для перечисления хостов домена атакующие использовали инструмент ADRecon. ;T1069.002 Permission Groups Discovery: Local Groups;Для получения сведений о локальных и доменных группах пользователей атакующие использовали инструмент ADRecon. ;T1069.002 Permission Groups Discovery: Local Groups; ;T1069.002 Permission Groups Discovery: Domain Groups; ;T1087.001 Account Discovery: Local Account;Для получения сведений о локальных и доменных учетных записях атакующие использовали инструмент ADRecon. ;T1087.002 Account Discovery: Domain Account; ;T1482 Domain Trust Discovery;Для получения сведений о доверительных отношениях доменов атакующие использовали инструмент ADRecon. ;T1046 Network Service Scanning;Для сканирования сети атакующие используют утилиту с открытым исходным кодом SoftPerfect Network Scanner. ;T1135 Network Share Discovery;Для поиска общих сетевых ресурсов атакующие использовали утилиту с открытым исходным кодом SoftPerfect Network Scanner. ;T1016 System Network Configuration Discovery;Атакующие используют для разведки сети утилиту с открытым исходным кодом SoftPerfect Network Scanner. ;T1082 System Information Discovery;BlackCat с помощью wmic получает UUID скомпрометированного хоста. ;T1057 Process Discovery;BlackMatter перечисляет все запущенные процессы для поиска процессов, относящихся к безопасности, резервному копированию, базам данных, почтовым системам, офисным программам и т.д. ;T1007 System Service Discovery;BlackCat перечисляет системные службы для поиска служб, относящихся к безопасности, резервному копированию и базам данных. ;T1083 File and Directory Discovery;Атакующие перечисляют диски, каталоги и файлы для поиска чувствительной информации для эксфильтрации. TA0008 Lateral Movement;T1021.001 Remote Services: Remote Desktop Protocol;Атакующие могут использовать RDP для дальнейшего продвижения по сети. ;T1021.002 Remote Services: SMB/Windows Admin Shares;После того, как атакующие получают привилегированные аутентификационные данные, для распространения по локальной сети и доступа к ресурсам сети может использоваться утилита PsExec, а также модули psexec, wmiexec и smbexec из Impacket. ;T1021.004 Remote Services: SSH;Атакующие для доступа к части инфраструктуры под управлением Linux используют утилиту PuTTY. ;T1570 Lateral Tool Transfer;При продвижении внутри сети жертвы и развертывании программы-вымогателя осуществляется копирование на хост соответствующего набора инструментов. Программа-вымогатель BlackCat может самостоятельно распространяться в сети с помощью содержащейся в ее теле легитимной утилиты PsExec. TA0009 Collection;T1560.001 Archive Collected Data: Archive via Utility;Перед эксфильтрацией данные могут помещаться в архивы с помощью 7-Zip. ;T1005 Data from Local System;Атакующие для эксфильтрации собирают данные из локальной системы. ;T1039 Data from Network Shared Drive;Атакующие для эксфильтрации собирают данные из доступных ресурсов сети. ;T1074 Data Staged;Атакующие до эксфильтрации могут размещать собранные данные в архивах 7-Zip. ;T1119 Automated collection;Атакующие используют инструмент для автоматизированного сбора чувствительной информации ExMatter. TA0011 Command and Control;T1071 Application Layer Protocol;Применяемые атакующими средства удаленного доступа могут использовать протоколы прикладного уровня (HTTP, HTTPS, DNS). ;T1105 Ingress Tool Transfer;После получения первоначального доступа атакующие копируют на скомпрометированный хост набор инструментов, необходимых для дальнейшего развертывания. ;T1572 Protocol Tunneling;Для доступа к скомпрометированной системе атакующие могут использовать туннели, построенные с использованием ngrok или gost. ;T1573 Encrypted Channel;Атакующие могут использовать для удаленного доступа к скомпрометированной инфраструктуре Cobalt Strike, TeamViewer и ScreenConnect, которые осуществляют асимметричное/симметричное шифрование канала связи с управляющим сервером. ;T1219 Remote Access Software;Атакующие могут использовать для удаленного доступа к скомпрометированной инфраструктуре легитимные средства TeamViewer и ScreenConnect. TA0010 Exfiltration;T1041 Exfiltration Over C2 Channel;При использовании атакующими Cobalt Strike собранная информация может направляться с помощью по каналам взаимодействия с управляющим сервером Cobalt Strike. ;T1048.002 Exfiltration Over Alternative Protocol: Exfiltration Over Asymmetric Encrypted Non-C2 Protocol;Атакующие могут использовать инструмент эксфильтрации ExMatter, который передает похищенные данные на указанные в конфигурации ExMatter ресурсы SFTP, WebDav. ;T1567.002 Exfiltration Over Web Service: Exfiltration to Cloud Storage;Атакующие используют утилиту синхронизации Rclone для загрузки похищенных данных на легитимное облачное хранилище данных MEGA. ;T1020 Automated Exfiltration;После получения доступа файлы с целевых хостов автоматически загружаются помощью утилиты Rclone на легитимное облачное хранилище данных MEGA. ;T1030 Data Transfer Size Limits;Для предотвращения превышения лимитов по размеру передаваемых данных, что вызовет сигнализирование средств контроля, похищенные данные могут направляться в виде блоков фиксированного размера. TA0040 Impact;T1486Data Encrypted for Impact ;BlackCat осуществляет шифрование содержимого файлов в локальной системе, а также на доступных сетевых ресурсах. ;T1489 Service Stop;BlackCat останавливает указанные в конфигурации службы безопасности, резервного копирования, баз данных, почтовых систем и т.п. ;T1490 Inhibit System Recovery;BlackCat удаляет теневые копии разделов (Windows Volume Shadow Copies) с помощью vssadmin и wmic, отключает с помощью bccedit восстановление в загрузочном меню Windows, а также очищает Recycle Bin. BlackCat может останавливать службы резервного копирования и уничтожать снимки виртуальных машин. ;T1485Data Destruction ;При утечке учетных данных доступа к чату жертвы партнеры BlackCat могут удалить ключи шифрования, вследствие чего расшифровка файлов станет невозможной. ;T1498 Network Denial of Service ;При отказе жертвы выплачивать выкуп партнеры BlackCat могут осуществлять DDoS-атаки на инфраструктуру жертвы.

Программы-вымогатели

2021/2022

Исчерпывающий обзор тактик, техник и процедур (TTPs) операторов программ-вымогателей на основе матрицы MITRE ATT&CK®.

Получить отчет

Если материал вам понравился, расскажите о нём друзьям!

Другие интересные статьи:

Hi-Tech Crime Trends 2020/2021

киберугрозы, тенденции и прогнозы

Щит и меч

Group-IB Fraud Hunting Platform защитит «цифровую личность» пользователя

Big Game Hunting - теперь и в России

Операторы шифровальщика OldGremlin атакуют крупные компании и банки в России