Спеціалісти ESET підготували аналіз, який містить подробиці масштабної атаки програми-вимагача Diskcoder.C, направленої на українських користувачів. У ході дослідження було виявлено схожість між кількома кампаніями кіберзлочинної групи TeleBots, яка останнім часом організовує атаки на комп'ютерні системи об’єктів критичної інфраструктури України.
Рис. 1. Часова послідовність атаки на ланцюг постачання, яка була спрямована на Україну
Так, у грудні 2016 році TeleBots здійснила ряд кібератак, жертвами яких стали цілі особливого значення. Тоді головною метою хакерів було планомірне здійснення диверсій в українському кіберпросторі. Під час першої хвилі атак кіберзлочинці використали шкідливе програмне забезпечення KillDisk, яке просто перезаписувало певні файли та демонструвало зображення з телевізійного серіалу «Містер Робот» («Mr. Robot»). Для здійснення інфікування загроза використовувала бекдор Python/TeleBot, на честь якого кіберзлочинна група і отримала назву Telebots. Під час другої хвилі атак автори KillDisk додали шифрування та контактну інформацію до шкідливого програмного забезпечення для схожості з типовою атакою програми-вимагача. Проте кіберзлочинці не були зацікавлені у фінансовій винагороді, їхня справжня мета полягала в спричиненні шкоди компаніям, які були атаковані.
Рис. 2. Зображення, яке демонструвала шкідлива програма KillDisk під час першої хвилі атак у грудні 2016 року
У 2017 році атаки злочинної групи TeleBots стали більш витонченими. За період з січня по березень TeleBots атакувала програмне забезпечення (не пов'язане з M.E. Doc) і, використовуючи тунелі VPN, отримала доступ до внутрішніх мереж декількох фінансових установ. Під час цієї атаки група TeleBots розширила свій арсенал оновленими інструментами та бекдорами, що дозволило їй поширювати програму-вимагач Win32/Filecoder.NKH для здійснення шифрування файлів (крім файлів, розташованих у каталозі C:\Windows). На додаток до шкідливих програм для Windows, група TeleBots використовувала також програму-вимагач Python/Filecoder.R для атаки на сервери Linux.
Рис. 3. Код програми-вимагача Python/filecoder.R для Linux, що використовувався групою TeleBots
У травні 2017 року спеціалісти ESET помітили активність іншого сімейства шкідливих програм, відомого як Win32/Filecoder.AESNI.C (або XData). У більшості випадків цей вимагач розповсюджувався в Україні, оскільки саме вона була початковим вектором атаки. Відповідно до телеметрії сервісу LiveGrid®, дана загроза активувалась одразу після оновлення програмного забезпечення M.E.Doc. Для розповсюдження програма-вимагач Win32/Filecoder.AESNI.C використовувала механізм, який дозволяв діяти автоматично в інфікованому середовищі за допомогою утиліти SysInternals 'PsExec. Проте склалось враження, що під час цієї атаки злочинці так і не досягли фінальної мети або ж вони готувалися до іншої атаки. Зокрема зловмисники розмістили основні ключі дешифрування на форумі, що дозволило спеціалістам ESET створити інструмент для розшифрування файлів жертв програми-вимагача.
А вже 27 червня 2017 року українських користувачів масово атакувала нова програма-вимагач – Diskcoder.C. Дана шкідлива програма має можливість шифрувати основний завантажувальний сектор (MBR) за допомогою коду, який був запозичений у подібного шифрувальника Win32/Diskcoder.Petya. Ось чому деякі з дослідників можуть відносити цю загрозу до ExPetr / PetrWrap / Petya / NotPetya. Однак, на відміну від оригінального шифрувальника Petya, автори Diskcoder.C змінюють MBR-код таким чином, щоб відновлення було неможливим. Зокрема, зловмисники не зможуть надати ключ для дешифрування і він не зможе бути набраний на екрані жертви, оскільки згенерований ключ містить недопустимі символи.
Рис. 4. Повідомлення Diskcoder.C з інструкцією здійснення платежу
Візуально цей MBR модуль Diskcoder.C виглядає дещо модифікованою версією Petya: спочатку видає повідомлення, яке виглядає як CHKDSK-програма для перевірки диска. Саме у цей момент загроза фактично здійснює шифрування даних. Коли шифрування виконане, під час завантаження в частині MBR відображається наступне повідомлення з платіжною інструкцією, але, як вже зазначалося, ця інформація не має ніякого значення.
Після запуску загроза робить спроби розповсюдження за допомогою відомого експлойта ETERNALBLUE, використовуючи бекдор DoublePulsar. Такий самий спосіб використовувала шкідлива програма-вимагач WannaCry. Інший спосіб був ідентичним з вимагачем Win32/Filecoder.AESNI.C (також відомим як XData), який використовував спрощену версію Mimikatz для отримання паролів, а потім розповсюджував загрозу за допомогою SysInternals PsExec. Крім того, злочинці реалізували третій метод розповсюдження за допомогою механізму WMI.
Усі ці три методи були використані для поширення шкідливого коду всередині локальної мережі. На відміну від вже добре усім відомого шкідливого програмного забезпечення WannaCry, яке використовувало уразливість для розповсюдження загрози загалом, експлойт ETERNALBLUE використовувався загрозою Diskcoder.C лише для комп'ютерів у середині мережі.
Чому випадки інфікування зустрічаються не тільки в Україні? Дослідження показало, що постраждалі компанії в інших країнах мають VPN-зв'язки з їх філіями в Україні або діловими партнерами.
Таким чином, група TeleBots продовжує здійснювати руйнівні кібератаки в Україні. Окрім фішингових електронних листи з документами з шкідливими макросами, зловмисники почали використовували більш складну схему — атаку на ланцюг постачання. Спочатку головною метою хакерів був лише фінансовий сектор в Україні, але останні атаки вже націлені на бізнес середовище країни, та ймовірно з неналежним чином оціненими можливостями розповсюдження загрози. Саме тому шкідливе програмне забезпечення вийшло з-під контролю.
Детальний аналіз вищеперерахованих загроз, які протягом останніх місяців масово атакують Україну, доступний на сторінці офіційного блогу ESET — www.welivesecurity.com (переклад українською мовою доступний за посиланням).
Індикатори загрози
ESET виявляє загрозу як:
Win32/TeleBot trojan
VBS/Agent.BB trojan
VBS/Agent.BD trojan
VBS/Agent.BE trojan
Win32/PSW.Agent.ODE trojan
Win64/PSW.Agent.K trojan
Python/Filecoder.R trojan
Win32/Filecoder.AESNI.C trojan
Win32/Filecoder.NKH trojan
Win32/Diskcoder.C trojan
Win64/Riskware.Mimikatz application
Win32/RiskWare.Mimikatz application
Командні (C&C) сервери:
transfinance.com[.]ua (IP: 130.185.250.171)
bankstat.kiev[.]ua (IP: 82.221.128.27)
www.capital-investing.com[.]ua (IP: 82.221.131.52)
Легітимні сервери, які були інфіковані та несанкціоновано використані загрозою:
api.telegram.org (IP: 149.154.167.200, 149.154.167.197, 149.154.167.198, 149.154.167.199)
VBS бекдор:
1557E59985FAAB8EE3630641378D232541A8F6F9
31098779CE95235FED873FF32BB547FFF02AC2F5
CF7B558726527551CDD94D71F7F21E2757ECD109
Mimikatz:
91D955D6AC6264FBD4324DB2202F68D097DEB241
DCF47141069AECF6291746D4CDF10A6482F2EE2B
4CEA7E552C82FA986A8D99F9DF0EA04802C5AB5D
4134AE8F447659B465B294C131842009173A786B
698474A332580464D04162E6A75B89DE030AA768
00141A5F0B269CE182B7C4AC06C10DEA93C91664
271023936A084F52FEC50130755A41CD17D6B3B1
D7FB7927E19E483CD0F58A8AD4277686B2669831
56C03D8E43F50568741704AEE482704A4F5005AD
38E2855E11E353CEDF9A8A4F2F2747F1C5C07FCF
4EAAC7CFBAADE00BB526E6B52C43A45AA13FD82B
F4068E3528D7232CCC016975C89937B3C54AD0D1
Win32/TeleBot:
A4F2FF043693828A46321CCB11C5513F73444E34
5251EDD77D46511100FEF7EBAE10F633C1C5FC53
Win32/PSW.Agent.ODE (CredRaptor):
759DCDDDA26CF2CC61628611CF14CFABE4C27423
77C1C31AD4B9EBF5DB77CC8B9FE9782350294D70
EAEDC201D83328AF6A77AF3B1E7C4CAC65C05A88
EE275908790F63AFCD58E6963DC255A54FD7512A
EE9DC32621F52EDC857394E4F509C7D2559DA26B
FC68089D1A7DFB2EB4644576810068F7F451D5AA
Win32/Filecoder.NKH:
1C69F2F7DEE471B1369BF2036B94FDC8E4EDA03E
Python/Filecoder.R:
AF07AB5950D35424B1ECCC3DD0EEBC05AE7DDB5E
Win32/Filecoder.AESNI.C:
BDD2ECF290406B8A09EB01016C7658A283C407C3
9C694094BCBEB6E87CD8DD03B80B48AC1041ADC9
D2C8D76B1B97AE4CB57D0D8BE739586F82043DBD
Win32/Diskcoder.C:
34F917AABA5684FBE56D3C57D48EF2A1AA7CF06D
PHP shell:
D297281C2BF03CE2DE2359F0CE68F16317BF0A86
Спеціалісти ESET регулярно оновлюють список інструкцій для користувачів щодо здійснення перевірки та «лікування» систем, усунення наслідків атаки, проведення заходів для посилення безпеки корпоративної ІТ-інфраструктури.
Звертаємо Вашу увагу! Актуальні рекомендації спеціалістів ESET завжди доступні у документі «ESET_Recommendations.pdf». Будь ласка, слідкуйте за оновленнями!
У разі якщо Ваш комп’ютер вже інфіковано, будь ласка, напишіть запит до служби технічної підтримки ESET в Україні на електронну адресу support@eset.ua, вказавши контактний номер телефону та ім'я відповідальної особи для зворотнього зв'язку.