Партнерская программа вымогателя REvil (также известного как Sodinokibi или Sodin) появилась еще в 2019 году. С тех пор она привлекает партнеров с разным уровнем подготовки, которые проводили атаки на организации по всему миру, кроме России и СНГ. Эта информация дает все разумные основания полагать, что разработчики и операторы REvil, скорее всего, русскоязычные.

В последнее время участники партнерской программы REvil проявляли небывалую активность. Партнеры REvil не выбирают в качестве целей компании, принадлежащие к какой-то определенной отрасли. Acer, Honeywell, Quanta Computer, JBS, Sol Oriens — это лишь часть крупных компаний, пострадавших от деятельности участников партнерской программы REvil. Первоначально требования выкупа были очень скромными, однако теперь речь идет о десятках миллионов долларов. Не так давно вымогатели потребовали от Acer $50 млн, у поставщика MSP-решений Kaseya прямо сейчас вымогают $70 млн, а JBS, по данным отчетов, находящихся в открытом доступе, уже выплатила им $11 млн.

Согласно сообщению, которое пользователь, предположительно связанный с программой REvil RaaS, оставил в ветке, посвященной данной программе на сайте exploit.in, партнеры REvil получают не менее 75% от выкупа, уплаченного жертвами. Пост был удален. Тем не менее система Group-IB Threat Intelligence & Attribution смогла получить исходное сообщение.

В мае 2021 года этот пользователь оставил сообщение в той же теме. В нем он призвал участников партнерской программы REvil не атаковать социальный сектор и государственные компании. Кроме того, пользователь обратился к партнерам закрытых программ RaaS. Всё это указывает на то, что к REvil присоединяется все больше партнеров, и есть все основания ожидать увеличения количества и масштабов атак, связанных с этим видом программ-вымогателей.

Хотя партнеры REvil в основном атакуют крупные корпорации, некоторые участники выбирают в качестве мишени компании с относительно невысокими доходами. Это весьма важный факт с точки зрения тактик, техник и процедур: операторы программ-вымогателей в редких случаях используют действительные учетные записи, полученные от третьих лиц, или компрометацию общедоступных RDP-серверов через подбор пароля в качестве первоначального вектора атаки.

Более того, партнеры REvil не всегда фокусировались на атаках, нацеленных на крупные компании (от англ. Big Game Hunting). Еще в декабре 2020 года участники партнерских программ REvil использовали вредоносную рекламу, чтобы обманом заставить жертву загрузить архив, содержащий вредоносный JS-файл. При запуске он использовал командную строку Windows, чтобы выполнить вредоносную команду PowerShell, что в конечном итоге приводит к запуску REvil на целевом узле. Та же техника применялась для распространения трояна Gootkit.

Рекомендации по обнаружению: отслеживайте, как WScript.exe запускает скрипты из необычных мест, выполняет процессы cmd.exe/powershell.exe или же осуществляет внешние сетевые подключения.

Как и многие другие операторы программ-вымогателей, партнеры REvil использовали серийное вредоносное ПО для получения первоначального доступа к целевым сетям. Двумя свежими примерами являются IcedID и Qakbot — это ПО уже давно используется в атаках, связанных с программами-вымогателями. Ранее было известно, что IcedID использовался партнерами Maze, Egregor и Conti, а Qakbot применялся ProLock, Egregor и DoppelPaymer.

Оба трояна распространяются через массовые спам-кампании. Потенциальная жертва получает электронное письмо с вредоносным документом Microsoft Office. Если файл будет открыт, а вредоносные макросы включены, то двоичный троян загрузится и запустится на хосте, как правило, через rundll32.exe или regsvr32.exe.

Фишинг остается одним из самых популярных векторов атак с использованием программ-вымогателей. Согласно отчету "Программы-вымогатели 2020/2021", 29% атак 2020 года из тех, что были проанализированы командой Group-IB DFIR, начинались с целевого фишинга.

Рекомендации по обнаружению: отслеживайте события, связанные с созданием таких подозрительных процессов, как rundll32.exe, regsvr32.exe или mshta.exe, с помощью winword.exe или excel.exe. Обратите особое внимание на rundll32.exe и regsvr32.exe, которые запускают файлы без расширения .dll.

Давайте рассмотрим несколько распространенных примеров и начнем с IcedID. Обычно он использует возможности другого вредоносного ПО — Shathak (который также выступает в роли распространителя Qakbot) — и распространяется через вредоносные документы Microsoft Word. Вредоносный макрос удаляет файл .hta и использует mshta.exe для его запуска:

В результате он загружает исходный DLL IcedID и запускает его через rundll32.exe:

Второй троян имеет аналогичный механизм доставки. Чаще всего он распространяется через электронные таблицы Microsoft Excel. После включения вредоносных макросов исходный DLL Qakbot загружается и запускается через regsvr32.exe:

Рекомендации по обнаружению: постоянные библиотеки DLL для обоих троянов обычно находятся в подпапках профиля пользователя, поэтому вы можете обнаружить rundll32.exe или regsvr32.exe, запускающие подозрительные библиотеки DLL из таких мест.

Как уже упоминалось, многие участники партнерских программ злоупотребляют внешними удаленными службами, а также используют общедоступные приложения для получения первоначального доступа к целевой сети. Важно отметить, что партнеры RaaS редко самостоятельно проводят brute force-атаки или осуществляют распыление пароля (от англ. password spraying). Обычно они покупают доступ у брокеров.

Рекомендации по обнаружению: как правило, между первым успешным несанкционированным доступом и доступом, с которого начинается фактическая пост-эксплуатация, проходит некоторое время. Поэтому, если вы не используете многофакторную аутентификацию для общедоступных RDS и VPN, убедитесь, что ваша команда успешно отслеживает входы в систему из необычных мест.

Злоумышленники не всегда используют перебор или распыление пароля. Партнеры REvil могут получить действительную учетную запись из самых разных источников, например, от стилеров информации. Владельцы REvil RaaS даже купили исходный код стилера KPOT, чтобы использовать его в интересах своих партнеров.

Партнеры могут использовать различные уязвимости в общедоступных приложениях. Как известно, они используют веб-оболочки для получения начального доступа. По данным СМИ, злоумышленники могли получить доступ к сети Acer с помощью уязвимости ProxyLogon на сервере Microsoft Exchange данной компании. Хакеры, использующие данную уязвимость, очень часто загружают веб-оболочку для сохранения доступа.

Достигнув первоначальную цель, преступники обычно продолжают собирать дополнительные учетные данные и проводят внутреннюю разведку.

Двумя наиболее распространенными инструментами сетевого сканирования, обнаруженными командой Group-IB в рамках реагирования на инциденты, стали Advanced IP Scanner и SoftPerfect Network Scanner. В некоторых случаях партнеры загружали эти инструменты прямо с официальных сайтов, используя взломанный хост.

Рекомендации по обнаружению: злоумышленники редко переименовывают инструменты сетевого сканирования, поэтому можно легко искать имена файлов. А если такие инструменты все-таки были переименованы, стоит сосредоточиться на названиях и описаниях продуктов, которые по-прежнему позволяют их обнаруживать.

Во многих случаях этап разведки включал в себя не только сетевое сканирование. Обычно партнерам приходится собирать информацию об Active Directory, поэтому, в процессе расследования довольно часто можно обнаружить свидетельства использования таких инструментов, как AdFind, ADRecon и Sharphound.

Рекомендации по обнаружению: популярные инструменты разведки Active Directory, которые обычно используются партнерами REvil, имеют очень типичные аргументы командной строки, которые можно использовать в процессе обнаружения.

Как и многие другие злоумышленники, включая тех, что спонсируются государством, партнеры REvil используют широкий спектр техник "living-of-the-land", которые подразумевают использование легитимных программ и функций для проведения атак, включая злоупотребление PowerShell, WMI и другими встроенными инструментами.

Например, они использовали командлет Get-ADComputer для сбора информации о компьютерах Windows в инфраструктуре:

Злоумышленники используют команду qwinsta для сбора информации о сеансах сервера Remote Desktop Session Host (хост сеансов удаленных рабочих мест):

Еще одна встроенная команда, которой злоупотребляют партнеры REvil для сбора информации о контроллерах домена:

Для сбора информации об установленных приложениях, в том числе о продуктах безопасности, злоумышленники выполняли запросы WMI:

Рекомендации по обнаружению: партнеры REvil часто используют различные встроенные инструменты для сбора информации о целевой сети. Большинство из них редко используются системными и сетевыми администраторами, поэтому обнаружить необычные процессы должно быть легко.

Говоря о техниках, которые партнеры REvil используют с целью избежать обнаружения, стоит отметить, что злоумышленники не пытаются отключить системы безопасности. Они предпочитают переводить их в режим "обнаружения", чтобы вредоносные инструменты не были заблокированы. Такой подход позволяет злоумышленникам использовать очень распространенные и легко обнаруживаемые средства для дампинга учетных данных, например, Mimikatz и LaZagne. В некоторых случаях преступники хотели быть более скрытными и использовали ProcDump, чтобы получить дамп процесса LSASS.

Еще один распространенный способ получения доступа к учетным данным, использованный в некоторых инцидентах, — поиск паролей в различных файлах пользователей, к примеру, в текстовых документах.

Злоумышленники используют самые разные инструменты пост-эксплуатации:

• Cobalt Strike
  
• Metasploit
  
• CrackMapExec
  
• PowerShell Empire
  
• Impacket
  
  

Все вышеупомянутые инструменты также позволяют партнерам REvil осуществлять горизонтальное перемещение, особенно если они уже собрали учетные данные высокого порядка.

Рекомендации по обнаружению: как правило, злоумышленники не склонны прибегать к необычным техникам, когда они используют инструменты пост-эксплуатации. Поэтому если вы сосредоточитесь на обычных аргументах командной строки, типичных для Cobalt Strike, PowerShell Empire и другого вредоносного ПО, то вы, скорее всего, сумеете успешно их обнаружить.

Кроме того, горизонтальное перемещение стало возможным благодаря протоколу удаленного рабочего стола. Партнеры даже смогли включить его на хостах, где он не был доступен с помощью WMI и PowerShell:

Партнеры REvil печально известны тем, что успевают извлечь данные до фактического развертывания программы-вымогателя. Обычно преступники используют WinSCP. Во многих случаях они просто устанавливают его на сервер и используют протокол SMB для доступа к интересующим данным на других хостах, отправляя их на серверы, находящиеся под контролем злоумышленников.

Помимо этого, преступники используют приложения, связанные с облачным хранилищем, к примеру, MEGASync. В то же время они могут использовать веб-браузер для доступа к аналогичным облачным хранилищам и последующей кражи данных.

Рекомендации по обнаружению: отслеживайте установку необычных приложений, которые потенциально могут быть использованы для кражи данных, например, клиенты FTP/SFTP и облачных хранилищ. Помимо этого, стоит обращать внимание на подключение к веб-сайтам, связанным с облачным хранилищем, которое было произведено из необычных мест.

Кроме того, перед разворачиванием программ-вымогателей многие злоумышленники решают вопрос с существующими резервными копиями: либо стирают их, либо запускают исполняемые файлы REvil на соответствующих серверах в первую очередь.

Обычно преступники пытаются развернуть программу-вымогатель как можно шире и используют PsExec или изменение групповой политики для выполнения запланированной задачи для ее запуска. Конечно, перед этим происходит полное отключение продуктов безопасности или программа-вымогатель просто добавляется в исключения.

Как видите, партнеры REvil имеют тактики, техники и процедуры, схожие с другими участниками Big Game Hunting. Ничего удивительного, ведь многие партнеры, связанные с другими RaaS, примкнули к REvil. Учитывая тот факт, что все больше злоумышленников присоединяются к партнерской программе REvil, мы сопоставили TTP их партнеров с MITRE ATT&CK, чтобы лучше подготовиться к их атакам и знать, какие методы необходимо использовать для снижения рисков безопасности, связанных с REvil.

Более подробную информацию об атаках с использованием программ-вымогателей, управляемых вручную, можно получить в отчете Group-IB "Программы-вымогатели 2020/2021":