СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 03:25
#ИБ

GreenBlood: Go-вымогатель для Windows с двойным вымогательством

В недавнем отчёте описан новый семействo вредоносного ПО — GreenBlood ransomware. Это шифровальщик, реализованный на языке Go, который атакует Windows‑окружения, совмещая классическое шифрование файлов с угрозой утечки данных — то есть использует модель двойного вымогательства. Ниже — разбор его поведения, индикаторов компрометации и способов обнаружения с опорой на Wazuh, YARA и Sysmon.

Ключевые характеристики

  • Язык реализации: Go — даёт высокую скорость выполнения и возможность параллельной обработки большого количества файлов.
  • Модель атаки: двойное вымогательство: шифрование файлов + угроза публикации данных.
  • Расширения зашифрованных файлов: .tgbg и .gblood.
  • Имена заметок о выкупе: READ_ME_TO_RECOVER_FILES.txt или HOW_TO_RECOVER_FILES.txt, размещаемые в различных каталогах (например, «Документы», «Загрузки»).

Механизм вредоносных действий

GreenBlood выполняет комплекс операций для максимально эффективного нанесения ущерба и минимизации возможности восстановления:

  • Шифрование файлов с добавлением указанных расширений.
  • Создание и размещение файлов-указаний о выкупе (READ_ME_TO_RECOVER_FILES.txt, HOW_TO_RECOVER_FILES.txt).
  • Отключение средств восстановления и резервирования с помощью системных утилит.
  • Изменение параметров реестра для отключения защиты в реальном времени и брандмауэра Windows Defender.
  • Выполнение скрипта очистки из временной папки для сокрытия следов после шифрования.

Команды и утилиты, используемые для разрушения защит

Для разрушения возможностей восстановления и снижения вероятности восстановления данных GreenBlood использует известные системные инструменты:

  • bcdedit — подавление запросов на восстановление.
  • vssadmin, wmic, wbadmin — удаление теневых копий и резервных копий.
  • Изменения в системном реестре для отключения Windows Defender, брандмауэра и real‑time protection.

Индикаторы компрометации (IoC)

  • Появление файлов с расширениями .tgbg или .gblood.
  • Наличие файлов-указаний: READ_ME_TO_RECOVER_FILES.txt, HOW_TO_RECOVER_FILES.txt.
  • Логи об использовании vssadmin, wmic или wbadmin для удаления теневых копий.
  • Изменения параметров реестра, отключающие защиту Windows Defender и брандмауэр.
  • Запуск скриптов очистки из временных каталогов после шифрования.

«Программа-вымогатель добавляет расширения .tgbg или .gblood и оставляет заметки с именами READ_ME_TO_RECOVER_FILES.txt или HOW_TO_RECOVER_FILES.txt в различных каталогах».

Обнаружение и защита: роль Wazuh, YARA и Sysmon

Обнаружение GreenBlood в отчёте описано через интеграцию нескольких инструментов мониторинга и реагирования:

  • Wazuh — использует пользовательские правила для детектирования типичных проявлений: создание ransom‑notes, появление специфичных расширений, удаление системных резервных копий и изменение настроек восстановления.
  • YARA — применяется для автоматического сканирования подозрительных файлов; при совпадении сигнатуры возможна автоматическая изоляция/удаление.
  • FIM (File Integrity Monitoring) в Wazuh — отслеживает изменения в файловой системе, помогая оперативно выявлять появление зашифрованных файлов и модификации критичных файлов.
  • Sysmon — обеспечивает детальный мониторинг событий, позволяя анализировать поведение процесса и привязать активности к детектам Wazuh.
  • Модули активного реагирования Wazuh могут автоматически запускать проверку YARA при срабатывании правил, сокращая время реакции и уменьшая потенциальный ущерб.

Практические рекомендации

На основе поведения GreenBlood и возможностей детекции можно порекомендовать следующие шаги для повышения уровня защиты:

  • Наладить регулярные и изолированные (offline) резервные копии и проверять их валидность.
  • Внедрить и поддерживать EDR/AV‑решения с поддержкой YARA и интеграцией в SIEM/Wazuh.
  • Активировать и настроить FIM‑мониторинг на ключевых каталогах и конфигурационных файлах.
  • Собирать и анализировать Sysmon‑логи для раннего обнаружения подозрительного поведения процессов.
  • Ограничить права пользователей и сервисов, минимизировать использование учётных записей с административными привилегиями.
  • Обучать сотрудников и проводить регулярные упражнения по реагированию на инциденты.
  • При обнаружении индикаторов компрометации изолировать заражённые узлы и задействовать процедуру реагирования на инциденты.

Вывод

GreenBlood ransomware — пример современного шифровальщика, который сочетает эффективность реализации на Go с методами, направленными на максимальное нарушение работы и усложнение восстановления. Комбинация Wazuh, YARA, FIM и Sysmon даёт организациям возможность быстро обнаруживать характерные для GreenBlood действия и уменьшать ущерб за счёт автоматизированных сценариев реагирования. Однако ключевым остаётся профилактика: корректная стратегия резервного копирования, ограничение привилегий и проактивный мониторинг.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: