Очень грязные дела: эксперты F.A.С.С.T. обнаружили новую группу вымогателей — Muliaka

09.04.2024
Очень грязные дела: эксперты F.A.С.С.T. обнаружили новую группу вымогателей — Muliaka

F.A.C.C.T., разработчик технологий для борьбы с киберпреступлениями, обнаружил новую преступную группу вымогателей Muliaka. Злоумышленники атакуют российские компании как минимум с декабря 2023 года. В одной из атак для распространения программы-вымогателя в сети жертвы и для ее запуска на хостах Windows атакующие воспользовались популярным корпоративным антивирусом. Все технические подробности исследованной атаки, а также инструменты группы Muliaka и других самых активных в России вымогателей подробно описаны в новом блоге компании F.A.C.C.T.

В январе 2024 года одна из российских компаний была атакована новой преступной группой вымогателей — в результате у жертвы были зашифрованы Windows-системы и виртуальная инфраструктура VMware ESXi.

Период с момента получения доступа к ИТ инфраструктуре жертвы до начала шифрования данных занял у атакующих около 2 недель. В ходе расследования специалисты F.A.C.C.T. выяснили, что для удаленного доступа к ИТ-инфраструктуре жертвы атакующие использовали VPN-сервис компании, а для перемещения по узлам инфраструктуры службу удаленного управления WinRM (Windows Remote Management).

Специалисты Лаборатории компьютерной криминалистики компании F.A.C.C.T. назвали новую группу Muliaka, использовав в качестве нейминга часть имени аккаунта электронной почты kilamulia@proton.me, которую вымогатели оставляют для связи с жертвой, и южнорусское слово "муляка", обозначающее грязную мутную воду.

Для распространения своей программы-вымогателя в сети жертвы и для ее запуска на хостах Windows атакующие воспользовались установленным корпоративным антивирусным программным обеспечением. Для удаленного запуска шифровальщика злоумышленники создали инсталляционный пакет (см. рис.) и соответствующую задачу. Надо отметить, что при наличии установленного антивируса в ИТ-инфраструктуре жертвы продвинутые атакующие все чаще предпочитают использовать этот продукт для скрытного и эффективного продвижения по сети.

Любопытно, что перед шифрованием злоумышленники запускали на хостах вспомогательный PowerShell-скрипт Update.ps1, который предназначен для остановки и запрета служб баз данных и резервного копирования, удаления точек восстановления и теневых копий томов, он же отключает сетевые адаптеры на хосте, и тем самым, отключает хост от сети. Напомним, что подобную технику ранее использовала группа вымогателей OldGremlin.

Наибольший интерес у криминалистов вызвали стоящие на вооружении у группы Muliaka программы-вымогатели. Например, шифровальщик для Windows был разработан основе утекших в публичный доступ исходных кодов вымогателя Conti 3, однако представляет собой одну из наиболее интересных его модификаций.

Шифрование файлов осуществляется в два прохода. Это сделано для того, чтобы при первом проходе максимально быстро заблокировать данные жертвы, а при втором – максимально усложнить возможность их расшифровки и восстановления без оплаты выкупа.

Образец программы-вымогателя для ESXi на хостах жертвы не удалось найти, он был удален атакующими. Однако полученной информации было достаточно, чтобы найти другие образцы программ-вымогателей для Windows и ESXi. Два месяца назад образец программы-вымогателя для ESXi был загружен на портал VirusTotal и до сих пор не детектируется ни одним антивирусным вендором. Примечательно, что практически все найденные образцы были загружены на портал VirusTotal из Украины.

«Специалисты F.A.C.C.T. подключились к расследованию атаки группы Muliaka уже на этапе восстановления сотрудниками компании своей ИТ-инфраструктуры. Атакующие использовали VPN жертвы, но являлся ли он начальным доступом, на данный момент точно не установлено. Нельзя исключать использование в качестве начального вектора атаки уязвимостей в публичных приложениях или фишинг, — рассказал Антон Величко, руководитель Лаборатории компьютерной криминалистики компании F.A.C.C.T. — По нашим данным, группа активна как минимум с декабря 2023 года и ее жертвами являются исключительно российские компании. Действия атакующих можно характеризовать как достаточно квалифицированные, после себя они оставляют минимальное количество следов».


Популярные материалы