СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
21 февраля
#Dev#ИБ#Инфра

Как программа-вымогатель SafePay использует критические уязвимости

Как программа-вымогатель SafePay использует критические уязвимости

Недавний инцидент с программой-вымогателем SafePay, расследованный командой цифровой криминалистики и реагирования на инциденты (DFIR) NCC Group, выявил множество критических уязвимостей, которые использовались хакерами для атаки на скомпрометированные системы.

Методы взлома

Злоумышленники получили доступ к системам через неправильно настроенный брандмауэр Fortigate, что позволило локальным учетным записям обходить требования многофакторной аутентификации (MFA). Основные моменты включают:

  • Неправильная настройка брандмауэра.
  • Использование ненадежных паролей, что позволило пройти аутентификацию от имени администратора домена.
  • Сложное планирование и выполнение атаки с использованием устройства от провайдера Vultr.

Действия хакеров после взлома

Получив доступ, хакеры приступили к различным действиям, включая внедрение механизмов сохранения данных и создания дополнительных служб. Они использовали:

  • Службу, связанную с ScreenConnect для поддержания доступа.
  • Вредоносный файл soc.dll, который действовал как бэкдор QDoor.
  • Метод «опустошения процесса» с помощью командной строки Windows regsvr32.

Шифрование данных

После получения постоянного доступа злоумышленники разработали пакетные файлы для взаимодействия с серверами и запустили процесс шифрования. Важно отметить следующие аспекты:

  • Использование программы-вымогателя 1.exe для шифрования данных.
  • Симметричный алгоритм шифрования ChaCha20 для уникального шифрования файлов.
  • Файлы фашистов были переименованы с расширением .safepay.
  • Процесс шифрования был адаптирован для предотвращения выполнения в русскоязычных странах.

Коды и восстановление

Программа-вымогатель использовала различные команды, отключающие механизмы восстановления. Шифрование происходило блоками, а механизм частичного шифрования включал:

  • Генерацию пар открытых и закрытых ключей.
  • Создание хэшей проверки для обеспечения целостности файлов.

Выводы и особенности атаки

Сообщения о требовании выкупа подтверждают, что атаку совершила группа программ-вымогателей SafePay. Примечательно, что программа также шифровала гипервизоры, что делало виртуальные машины неэффективными. Сравнение с известными программами-вымогателями, такими как Blacksuit, выявило незначительное сходство кода, но расследование не смогло однозначно отнести эту программу к известной хакерской группе.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: