Глобальная группа вымогателей: RaaS, печать уведомлений, очистка журналов

Новый аналитический отчёт выявил продвинутую Ransomware-as-a-Service (RaaS) платформу, которую условно называют Global ransomware group. Группа демонстрирует целый набор механизмов, направленных на ускорение компрометации сетей, повышение эффективности шифрования и увеличение доходности для аффилиатов. Особое внимание привлекают поддержка ESXi и сетевых систем хранения, «one‑click» механизм распространения и использование AI‑инструмента для ведения переговоров с жертвами.

Ключевые выводы

• Расширенная поддержка инфраструктуры: заявлена совместимость с ESXi и сетевыми устройствами хранения данных.
• One‑click распространение: механизм быстрого проникновения в корпоративную сеть.
• AI‑помощник для переговоров: инструмент на базе искусственного интеллекта, облегчающий коммуникацию с жертвами.
• Чистый релиз (unpacked): обнаруженный образец не содержит упаковки или запутывания, что упрощает обратную инженерию.
• Многоэтапная архитектура вредоносного ПО: динамическое разрешение API, хэширование, mutex, расшифровка конфигурации и т. п.

Техническое поведение и тактики

Исследователи описывают следующий типовой жизненный цикл зловреда:

• Динамическое разрешение API при помощи кастомного алгоритма хэширования и создание mutex для управления экземпляром процесса.
• Дешифровка встроенной конфигурации — в ходе этой стадии возможен извлекаемый доступ к рабочим параметрам при помощи инструментов обратной инженерии.
• Печать уведомлений о выкупе на всех доступных сетевых принтерах как способ публичного оповещения жертв.
• Очистка журналов событий Windows и удаление shadow copies для ограничения восстановления систем.
• Повышение привилегий путём модификации токенов и выдачи себя за учетную запись SYSTEM.
• Отключение средств защиты — в том числе компонентов Microsoft Defender и служб ведения логов.
• Перечисление устройств в домене с использованием легитимных учетных данных и распространение через сервисы или создание запланированных задач.
• Шифрование: перебор доступных логических дисков с исключением критичных системных файлов, затем поиск соседних устройств и шифрование доступных сетевых шар.
• Сеткое сканирование: элементарный, но эффективный механизм обнаружения живых хостов через ICMP‑запросы.
• Завершение активности: изменение обоев рабочего стола как маркер успешного шифрования и удаление собственных бинарников для затруднения обнаружения.

«Вредоносное ПО печатает уведомления о выкупе на всех доступных сетевых принтерах» — одна из характерных тактик, используемая группой, чтобы сделать инцидент максимально заметным для организации.

Механизмы обхода защиты

Группа сочетает стандартные и продвинутые техники обхода обнаружения: модификация токенов для получения SYSTEM‑прав, отключение антивирусных компонентов, очистка системных логов и уничтожение точек восстановления (shadow copies). Также отмечается использование легитимных учетных записей для «горизонтального» перемещения по домену и распространения через сервисы/задачи — что затрудняет детекцию, поскольку активность выглядит как нормальное поведение администраторов.

Особенности распространения и прицельности

• Фокус на виртуализации и хранении данных: поддержка ESXi и сетевых систем хранения повышает потенциальный ущерб при компрометации.
• «One‑click» эксплойт/спреадер позволяет быстро масштабировать атаку внутри инфраструктуры.
• Публичная составляющая — печать вымогательских писем на сетевых принтерах — повышает давление на жертву и может ускорить платёжные решения.

Оценка угрозы

Комбинация целевых модулей, использования legit‑учётных данных, поддержки серверных платформ и автоматизированных инструментов переговоров делает группу особенно опасной для организаций с недостаточно сегментированной сетью и слабо защищёнными серверами виртуализации и storage. Стратегия указывает на эскалацию тактик, направленных на максимизацию разрушения и давления на бизнес для получения выкупа.

Рекомендации по защите

• Обеспечить регулярные, проверяемые резервные копии за пределами основной сети (offline/offsite), включая snapshot‑копии ESXi и хранения.
• Защитить и ограничить доступ к учетным записям с правами домена: реализовать принцип наименьших привилегий, использовать MFA и PAM для администраторов.
• Ограничить возможность удалённого выполнения сервисов и создание запланированных задач для неподтверждённых учётных записей.
• Настроить удержание и репликацию логов в независимый SIEM/EDR — вне досягаемости локального хоста; включить контроль целостности логов.
• Усилить защиту ESXi и сетевых хранилищ: своевременные патчи, жесткие конфигурации, сегментация сети, доступ только из доверенных подсетей.
• Ограничить протоколы общего доступа (SMB) и мониторить нетипичные обращения к сетевым шарам.
• Контролировать и блокировать массовые ICMP‑сканирования и аномальные паттерны ARP/ICMP, внедрить сетевые IDS/IPS правила.
• Защитить сетевые принтеры: отключить ненужные услуги, обновить прошивки, логировать и ограничить доступ для печати.
• Настроить EDR/AV таким образом, чтобы он не отключался локальными пользователями; мониторить попытки модификации служб защиты и токенов процессов.
• Проводить регулярные аудиты безопасности, проактивные тесты на проникновение и тренировки по инцидент‑ризу.

Вывод

Global ransomware group демонстрирует методичный и многоуровневый подход, комбинирующий технические трюки и психологическое давление. Для организаций это сигнал к немедленному пересмотру архитектуры защиты, резервных стратегий и процедур реагирования. Комплексная защита — от сегментации сети до защищённых резервных копий и контроля учётных записей — остаётся ключевым барьером против таких угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.