CrazyHunter: новые тактики шифровальщика и злоупотребление GPO

Появление семейства вымогателей CrazyHunter представляет собой серьезную и хорошо подготовленную угрозу для корпоративных сетей. Эта вредоносная группа использует кодовые наработки от Prince Ransomware, ориентируется на платформу Windows и реализует многоступенчатые сценарии компрометации, включающие отключение средств защиты, эксфильтрацию данных и использование сетевых механизмов для закрепления в инфраструктуре.

Краткий обзор

CrazyHunter написан на языке Go и сочетает в себе стратегию шифрования файлов (гибридное сочетание симметричных и асимметричных алгоритмов) с тактикой «double extortion»: помимо шифрования злоумышленники выкачивают данные и публикуют угрозы утечки на специальных сайтах, чтобы заставить жертву платить выкуп. Для координации атак злоумышленники применяют как собственные компоненты, так и общедоступные инструменты — в том числе SharpGPOAbuse для манипуляции объектами групповой политики (GPO).

Техническая характеристика

• Платформа: Windows.
• Язык разработки: Go.
• Шифрование: гибридный метод — симметричные + асимметричные алгоритмы.
• Методы выполнения: запуск зашифрованного shellcode в памяти; загрузчик bb.exe расшифровывает и выполняет crazyhunter.sys без записи на диск.
• Дополнительные компоненты: file.exe — исполняемый файл с набором аргументов командной строки для облегчения эксфильтрации и других функций.
• Инструменты администрирования/злоупотребления: SharpGPOAbuse для изменения GPO и закрепления в домене.

Жизненный цикл атаки

Анализ показал последовательный многоэтапный сценарий:

• Первичный доступ: эксплуатация украденных учетных данных или иные методы получения начального доступа.
• Исполнение: запуск вредоносных файлов, часто с участием пользователя (user execution) или через удаленное выполнение.
• Закрепление: изменения в Active Directory и объекты GPO с помощью SharpGPOAbuse, что позволяет расширить контроль и обеспечить устойчивость присутствия.
• Перемещение по сети: использование скомпрометированных привилегированных учетных записей для lateral movement.
• Эксфильтрация: выкачивание конфиденциальных данных и подготовка «утечки» на специальных ресурсах для давления на жертву.
• Шифрование и требование выкупа: финальная стадия — уничтожение доступа к данным через шифрование и направление инструкций по оплате через e-mail.

Используемые инструменты и компоненты

• SharpGPOAbuse — общедоступный инструмент, позволяющий злоумышленникам манипулировать объектами групповой политики и получать устойчивость на уровне домена.
• bb.exe — загрузчик, который расшифровывает и выполняет в памяти модуль crazyhunter.sys, снижая шансы на детекцию традиционными средствами.
• crazyhunter.sys — зашифрованный shellcode/модуль, выполняющий основную функциональность вредоносного ПО в памяти.
• file.exe — вспомогательный исполняемый компонент для эксфильтрации и других задач; поддерживает работу с аргументами командной строки.

«Центральная особенность кампаний CrazyHunter — систематическое использование GPO и механизмов домена для эскалации и закрепления, что делает атаки особенно опасными для сетей с ослабленными правами и без MFA», — отмечают аналитики.

TTP по MITRE ATT&CK

Деятельность CrazyHunter коррелирует с множеством техник из фреймворка MITRE ATT&CK:

• Initial Access — эксплуатация учетных данных (Credential Access).
• Execution — выполнение вредоносных файлов, запуск в памяти (Living off the Land и Fileless tactics).
• Persistence — модификация GPO и другие методы закрепления в домене.
• Privilege Escalation / Lateral Movement — использование скомпрометированных активных учетных записей для перемещения внутри сети.
• Exfiltration — вывоз данных и подготовка публичной «утечки» для давления.
• Impact — шифрование файлов и требование выкупа (ransom)

Тактика вымогательства

Переговоры с пострадавшими чаще всего ведутся через электронную почту. Злоумышленники предоставляют контактные каналы и структурированный процесс вымогательства, включая угрозы публикации украденных данных на специализированных сайтах — классический пример «double extortion».

Рекомендации по защите

Для снижения рисков и предотвращения успешных атак экспертами рекомендованы следующие меры:

• Внедрить многофакторную аутентификацию (MFA) для всех привилегированных и критичных учетных записей.
• Ограничить права на изменение объектов GPO: предоставить доступ только строго необходимым администраторам и регулярно проверять изменения.
• Внедрить EDR и расширенный мониторинг: отслеживать аномалии в поведении процессов, загрузчиков в памяти и массовые изменения в Active Directory.
• Настроить детекции для характерных признаков: запуск bb.exe, обращения к модулям типа crazyhunter.sys, подозрительные вызовы командной строки у file.exe и использование SharpGPOAbuse.
• Регулярно делать резервные копии и хранить их в изолированной (air-gapped) среде; проверять планы восстановления и целостность бэкапов.
• Сегментировать сеть и минимизировать доступ привилегированных учетных записей к критичным ресурсам.
• Проводить обучение сотрудников по распознаванию фишинга и вредоносных вложений, снижая вероятность user execution.
• Разработать и отработать план реагирования на инциденты с включением сценариев утечки данных и взаимодействия с правоохранительными органами.

Вывод

CrazyHunter демонстрирует зрелые кампании вымогателей, сочетающие техники скрытного выполнения в памяти, злоупотребление администрационными инструментами (включая SharpGPOAbuse) и тактику двойного вымогательства. Основная защита — это усиление контроля над Active Directory, ограничение прав, многофакторная аутентификация и проактивный мониторинг. Организациям необходимо рассматривать такую угрозу как приоритетную и обновлять свои процессы безопасности и реагирования, чтобы минимизировать последствия возможного компромисса.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.