Crypto24 (MSRuntime): вымогатель с обходом EDR и атакой на корпорации

Появившаяся в конце 2023 года программа-вымогатель Crypto24 представляет собой сложную угрозу для корпоративных инфраструктур. По данным отчёта, злоумышленники применяют многоступенчатые методы для скрытного закрепления в сети, повышения привилегий, обхода средств защиты и последующего шифрования критичных для бизнеса данных.

Краткое содержание угрозы

• Целевые регионы: крупные предприятия в Азии, Европе и США;
• Основной объект атаки: корпоративные инфраструктуры и критичные для бизнеса каталоги;
• Главные компоненты: вспомогательные инструменты для закрепления и lateral movement, Keylogger, собственный шифровальщик под названием MSRuntime;
• Особенность: активное использование методов обхода EDR и скрытой эксфильтрации данных через API Google Drive.

Методы закрепления и повышения привилегий

Акторы, использующие Crypto24, стремятся обеспечить долговременный контроль над скомпрометированными средами с помощью нескольких параллельных механизмов:

• создание запланированных задач, размещённых в каталоге %ProgramData%, для периодического запуска полезных нагрузок;
• установка вредоносных служб, маскирующихся под легитимные процессы (регистрируются как Windows Service);
• добавление новых учетных записей в группы Administrators и Remote Desktop Users для сохранения привилегий и доступа по RDP;
• повышение привилегий через пакетные сценарии, PsExec и runas.exe — инструменты используются как для исполнения команд, так и для маскировки обмена данными под видом легитимной активности.

Движение внутри сети и сбор учётных данных

Для горизонтального перемещения злоумышленники модифицируют реестр и правила брандмауэра с целью обеспечить доступ по протоколу RDP. Также разворачиваются сетевые сканеры для поиска дополнительных целей в среде.

После установления контроля устанавливается Keylogger, который регистрируется как служба и маскируется под легитимный процесс. Захваченные учётные данные фильтруются и передаются через API Google Drive, что снижает шанс внешнего обнаружения каналов утечки.

Обход средств защиты (EDR)

Отличительной чертой кампании является использование инструмента, обозначаемого как RealBlindingEDR-подобный (в отчёте — «инструмент, напоминающий RealBlindingEDR»), который динамически определяет установленные решения безопасности и выборочно отключает их компоненты. В отчёте отмечено, что злоумышленники целенаправленно подрывают работу таких поставщиков, как Kaspersky и McAfee.

«Инструмент динамически запрашивает метаданные для идентификации используемых продуктов безопасности и выборочно отключает средства защиты», — говорится в отчёте.

Шифровальщик MSRuntime и техники сокрытия

MSRuntime — основная программа-вымогатель в этой кампании. Она реализует меры защиты от анализа: хеширование вызовов API для маскировки обращений к критичным функциям и выполнение только при соблюдении определённых контекстных проверок, чтобы избежать срабатываний средств расследования и EDR.

Типичная последовательность действий после компрометации — шифрование файлов, преимущественно в критичных пользовательских и корпоративных каталогах, с последующей отправкой сообщения с требованием выкупа и угрозой раскрытия данных. Для затруднения восстановительных работ вредоносное ПО запускает пакетные сценарии, удаляющие следы своей активности.

Кому угрожает и почему

По данным отчёта, приоритетной целью атаки являются крупные корпорации — организации с высокими доходами и критичной для операций инфраструктурой. Это свидетельствует о тенденции к таргетированию игроков, чья деятельность делает их более уязвимыми к вымогательству и более мотивированными на выплату выкупа.

Рекомендации по защите

Исходя из описанных техник атак, организациям рекомендуется обратить внимание на следующие меры:

• проверка и аудит запланированных задач в %ProgramData% на предмет подозрительной активности;
• мониторинг добавления учетных записей в группы Administrators и Remote Desktop Users и немедленное расследование незнакомых учётных записей;
• ограничение и аудит использования PsExec, runas.exe и других удалённых административных инструментов;
• жёсткая политика контроля RDP: ограничение доступа по сети, использование MFA, мониторинг изменений в правилах брандмауэра и реестре;
• обеспечение целостности и своевременных обновлений EDR/AV-решений и проверка совместимости/логов на предмет попыток их отключения;
• контроль исходящего трафика и анализ подозрительных вызовов API к облачным сервисам (включая API Google Drive);
• регулярные резервные копии и проверенные планы восстановления, обеспеченные принципами оффлайн/изолированного хранения копий;
• повышение осведомлённости сотрудников об угрозах фишинга и социальных инженерных приёмов, которые часто используются при initial access.

Вывод

Кампания Crypto24 демонстрирует высокий уровень координации и технической изощрённости: злоумышленники сочетают устойчивые механизмы закрепления, инструменты обхода EDR и скрытые каналы эксфильтрации. Для защиты от подобных атак организациям требуется комплексный подход — от технических мер защиты конечных точек и сетевого контроля до процессов управления привилегиями и подготовки планов восстановления.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.