Черные тени: кого и как атакует семейство программ-вымогателей BlackShadow

В мае этого года российская компания, специализирующаяся на производстве и продаже оборудования, стала жертвой атаки, в результате которой была зашифрована ее ИТ-инфраструктура. Зашифрованные файлы имели расширение «BLackShadow«. При расследовании инцидента наши специалисты испытали устойчивое чувство дежавю: подобные тактики, техники и процедуры мы видим все чаще и чаще. И это отнюдь не копирование лучших практик конкурентов. В этих атаках не используются изощренные методы и инновации, да и сами атакующие не выделяются высокими компетенциями, под стать этому и скромные суммы требуемого ими выкупа за восстановление данных. Злоумышленники не тратят силы и время на кражу информации и ее последующую публикацию с целью дополнительного шантажа жертвы: их вполне устраивает небольшой, но стабильный гонорар, да и жертвам вполне по силам выплачивать такие суммы.

В той майской атаке применялась незнакомая для нас программа-вымогатель, которая и привлекла наше внимание. Использование в программе-вымогателе строки с неприличным подтекстом в качестве констант алгоритма шифрования ChaCha20 также вызвало дополнительный интерес к ее авторам. У этой программы сразу нашлось два «близких родственника» – программы, шифрующие файлы с расширениями «BLackSh» и «BlackStore» соответственно. А в середине июля 2023 года, в процессе написания данного блога, была найдена программа-вымогатель, использующая расширение «Black» для зашифрованных файлов. Так появилось семейство, которое мы назвали BlackShadow.

Семейство программ-вымогателей BlackShadow

При первом взгляде на BlackShadow сразу становится очевидным, что целью этих шифровальщиков являются русскоязычные жертвы. Дальнейшее исследование генеалогии семейства привело нас к событиям января 2023 года: 16 января было опубликовано первое упоминание о новом семействе Proxima, а спустя неделю – о семействе BTC-azadi. Анализ показал, что эти семейства и BlackShadow имеют общие корни: они разработаны на основе одних и тех же исходных кодов. В дальнейшем были найдены и другие варианты, например Cylance. Все эти и другие найденные родственные программы относятся к семейству, которое названо Proxima по праву первого публичного упоминания программ данного семейства. Датой «рождения» Proxima можно условно считать 1 января 2023 года.

В указанной выше публикации о семействе BTC-azadi подмечено, что слово «azadi» (آزادی), которое использовалось злоумышленниками в своих аккаунтах электронной почты, с фарси и других ему родственных языков переводится как «свобода». Возможно, полученные за счет шантажа денежные средства являются для этих атакующих в какой-то степени выражением свободы. Не исключаем, что это могло быть сделано специально для проведения атак «под чужим флагом». Но нельзя не отметить тенденцию, что программы-вымогатели «со странностями», такие как, например, BlackBit / LokiLocker и RCRU64, используются для атак по всему миру, и осуществляются эти атаки по похожему сценарию. Россия по количеству атак с использованием подобных программ-вымогателей за текущий год находится в числе лидеров.

Также мы отмечаем, что в текстовых файлах с требованиями выкупа, которые создают программы-вымогатели Proxima, а также в строковых данных программ-вымогателей содержится немало опечаток. Например, нам показалась очень забавной опечатка в тексте с требованием выкупа программы-вымогателя, использующей расширение «Merlin» для зашифрованных файлов: там дважды вместо слова «messages» используется «massages» (рис. 1).

Рис. 1. Фрагмент содержимого Merlin_Recover.txt

Другая программа-вымогатель, использующая расширение «uploaded«, вызвала интерес тем, что в ее записке с требованием выкупа указана ссылка TOR на сайт утечек (DLS) RA Group, что может свидетельствовать о том, что эта программа могла быть использована для атаки одним из партнеров RA Group. Возможно, эта ссылка помещена просто для устрашения жертвы. Использовали ли эту программу именно партнеры RA Group или нет, на данный момент мы не можем это подтвердить или опровергнуть.

Несколько обескураживает такое многообразие вариантов Proxima. Но несомненно, все эти программы-вымогатели разработаны на основе одних исходных кодов. Можно предположить, что распространение этих исходных кодов носит закрытый характер, а использование созданных на их основе программ-вымогателей осуществляется также в закрытом кругу различными группами, которые, возможно, их дорабатывали под свои нужды. Также стоит отметить еще один факт: в программах Proxima не используется обфускация. Вероятно, такое многообразие может использоваться для распыления внимания на многие группы киберпреступников.

География атак с использованием Proxima, как и в случае с BlackBit / LokiLocker, самая разнообразная: жертвы разбросаны по всему миру, это такие страны, как: Россия, Австрия, Вьетнам, Германия, Индия, Колумбия, Мексика, Молдавия, США, Украина, Япония.

По нашей информации, в России от атак с использованием программ-вымогателей Proxima пострадали компании из Москвы, Барнаула, Воронежа, Екатеринбурга, Красноярска, Новосибирска, Санкт-Петербурга, Ростова-на-Дону и Уфы.

Описание атаки BlackShadow

Получение первоначального доступа

Для получения первоначального доступа к ИТ-инфраструктуре компании-цели атакующие используют службу удаленных рабочих столов Windows (RDP) на публично доступных серверах жертвы.

Учетные данные злоумышленники получают в результате атаки методом перебора. Однако учетные данные могут быть также приобретены атакующими у брокеров первоначального доступа или операторов стилеров – программ, осуществляющих кражу конфиденциальной информации.

В рамках исследованного нами инцидента для осуществления большинства подключений атакующие использовали IP-адрес 37.221.59.212 (Тегеран, Иран). На начальном этапе атаки подключения также осуществлялись с IP-адреса 212.251.32.195 (Фессалия, Греция).

Подготовка к развитию атаки

Получив доступ к хосту, расположенному во внутреннем сегменте инфраструктуры жертвы, атакующие загружают на него набор инструментов, необходимых для последующих этапов атаки.

В дальнейшем при получении доступа к новым хостам атакующие копируют на него этот же набор утилит для сбора дополнительной информации об устройстве инфраструктуры и активности пользователей.

Повышение привилегий

В исследованных нами инцидентах атакующие достаточно быстро получали доступ к различным привилегированным учетным записям, однако основные действия осуществляли от имени рядовых пользователей. Для этого они добавляли эти учетные записи в группы с повышенными привилегиями.

Для локального повышения привилегий до уровня системы (SYSTEM) атакующие используют старую, но не ставшую со временем менее эффективной технику, которая заключается в установке командного интерпретатора Windows C:\windows\system32\cmd.exe в качестве отладчика программы специальных возможностей sethc.exe (T1546.008, T1546.012).

Сбор информации об ИТ-инфраструктуре, обогащение учетных данных

После получения доступа и загрузки необходимого набора утилит атакующие в первую очередь занимаются компрометацией наибольшего количества учетных записей и сбором сведений о привилегированных пользователях.

Атакующие используют популярную утилиту Mimikatz (https://github.com/gentilkiwi/Mimikatz), позволяющую извлекать пароли из памяти скомпрометированного хоста.

Помимо этого, для обогащения аутентификационными данными атакующие используют утилиты NirSoft, существенно упрощающие получение сохраненных паролей из сторонних приложений, таких как веб-браузеры и почтовые клиенты:

• WebBrowserPassView (web.exe);
• ChromePass (chroms.exe);
• Mail PassView (mailpv.exe);
• MessenPass (mspass.exe);

а также из системных компонентов:

• WirelessKeyView (WirelessKeyView64.exe)
• RouterPassView (RouterPassView.exe)
• Network Password Recovery (netpass64.exe)
• Dialupass (Dialupass.exe).

Для поиска небрежно оставленных паролей в пользовательских заметках атакующие используют утилиту Everything (everything.exe), которая также применяется для поиска и другой ценной информации о жертве.

После того как атакующие соберут максимально возможное количество потенциальных паролей, они приступают к подбору паролей к новым ресурсам, пользуясь тем, что пользователи зачастую используют одинаковые и нестойкие пароли. Для этого злоумышленники используют утилиту NL-Brute из их набора инструментов, загруженного в самом начале атаки.

Мы заметили, что атакующие нередко следуют своему мануалу бездумно, просто копируя команды без их адаптации для своего случая. Например, из-за этого в журналах событий выявлено большое количество неудачных попыток авторизации пользователя «Domain\Username«.

Для разведки сети атакующие используют следующие сетевые сканеры:

• SoftPerfect Network Scanner (https://www.softperfect.com/products/networkscanner/) (netscan.exe);
• Advanced IP Scanner (https://www.advanced-ip-scanner.com/) (advanced_ip_scanner.exe).

Атакующие используют консольную утилиту NS (NS.exe, 5-NS.exe) (рис. 2) для сканирования общих ресурсов сети и подключения их как сетевых дисков, а также монтирования скрытых томов. Ранее эта утилита встречалась в атаках с использованием программ-вымогателей Dharma и BlackBit / LokiLocker.

Рис. 2. Консольная утилита NS

Продвижение по сети

Овладев к началу данного этапа атаки необходимым количеством учетных данных и сведениями о построении сети, атакующие приступают к перемещению по хостам ИТ-инфраструктуры жертвы. Для этого они преимущественно используют службу удаленных рабочих столов Windows (RDP), но также есть свидетельства использования и легитимной утилиты PsExec, позволяющей удаленно выполнять команды с использованием ранее скомпрометированных учетных данных.

Получив доступ к новым устройствам инфраструктуры, атакующие повторяют действия, направленные на обогащение имеющейся в их распоряжении информации об ИТ-инфраструктуре, и компрометацию выявленных новых учетных данных.

Помимо этого, атакующие активно изучают файлы и сетевые ресурсы, которые могут быть связаны с резервными копиями, и по возможности получают к ним доступ для дальнейшего шифрования с целью нанесения жертве максимального урона.

Для упрощения доступа к некоторым хостам инфраструктуры жертвы атакующие настраивают на маршрутизаторах перенаправление сетевых портов таким образом, чтобы иметь возможность подключаться к этим хостам напрямую из внешней сети.

Закрепление в инфраструктуре

Для сохранения доступа к инфраструктуре атакующие создают учетную запись доменного пользователя и добавляют ее в группы с повышенными привилегиями.

Предотвращение обнаружения

Для того чтобы скрыть от пользователя свое присутствие в системе, атакующие сохраняют инструментарий и вспомогательные файлы в скрытые системные директории «%WinDir%\PerfLogs» и пользовательские директории «%UserProfile%\Pictures«. Также для противодействия обнаружению и для усложнения криминалистического анализа атакующие подменяют временные метки некоторых загруженных файлов.

При этом, всячески стремясь остаться незамеченными, атакующие проявляют неосторожность. Так, в расследованном нами инциденте большая часть загруженных ими на хост инструментов была поначалу заблокирована и удалена встроенным антивирусом Windows Defender. И только после его отключения атакующие уже успешно произвели загрузку необходимых утилит.

Для маскировки программы-вымогателя под легитимную программу атакующие используют имя «Msmpegs.exe«, схожее с именем системного компонента компании Microsoft.

Запуск программы-вымогателя

После захвата ИТ-инфраструктуры жертвы атакующие очищают на хостах журналы событий Windows (Event Logs), удаляют свой ранее загруженный инструментарий и созданные в ходе атаки вспомогательные файлы, и далее приступают к распространению программы-вымогателя.

Перед запуском программы-вымогателя атакующие меняют пароли учетных записей сотрудников ИТ-департамента для усложнения восстановления ИТ-инфраструктуры.

Распространение программы-вымогателя по ИТ-инфраструктуре и запуск производится атакующими преимущественно вручную.

Анализ программы-вымогателя BlackShadow

Программы-вымогатели BlackShadow представляют собой 32-разрядные консольные приложения для Windows формата PE32, разработанные на языке программирования C в среде разработки Microsoft Visual Studio. Программы-вымогатели не обфусцированы.

Шифровальщики BlackShadow не обладают широкими функциональными возможностями, такими как, например, самораспространение или шифрование в безопасном режиме. Но они просты и эффективны для выполнения своей основной задачи – шифрования файлов в ИТ-инфраструктуре жертвы без возможности их восстановления при отсутствии закрытого ключа. Программы не содержат странных решений подобно BlackBit / LokiLocker и RCRU64, а больше походят по коду на BlackMatter и Babuk.

Весьма наглядным с точки зрения демонстрации функциональных возможностей BlackShadow будет код ее главной функции main (рис. 3).

Рис. 3. Код функции main программы-вымогателя BlackShadow (расширение «BLackShadow»)

Такой же код main можно увидеть практически во всех программах-вымогателях семейства Proxima. В каких-то образцах порядок вызова ряда функций будет несколько иным, а для некоторых функций вместо их вызова будет содержаться непосредственно код этих функций (inline function) (рис. 4). Но сути это не меняет: все программы-вымогатели семейства Proxima имеют общие корни, различия между программами-вымогателями подсемейств не настолько значительны, чтобы их выделять в отдельные семейства.

Рис. 4. Фрагмент кода функции main программы-вымогателя BlackShadow (вариант с расширением «Black»)

В начале своей работы программа-вымогатель создает задачу планировщика «Windows Update BETA» для запуска исполняемого файла вымогателя при каждом старте системы в контексте системной учетной записи:

• RANSOM_PATH – путь к исполняемому файлу программы-вымогателя;
• RANSOM_ARGS – аргументы командной строки, указанные при запуске программы-вымогателя.

Перед шифрованием файлов шифровальщик устанавливает высокий приоритет для своего процесса, очищает корзину, удаляет теневые копии томов и монтирует скрытые тома. Для удаления теневых копий томов программа использует запросы WQL (WMI Query Language).

В последней выявленной на текущий момент программе BlackShadow с расширением для зашифрованных файлов «Black» дополнительно для удаления каталогов корзины выполняются следующие команды оболочки Windows:

Также в данном варианте программы-вымогателя добавлен функционал по выполнению команд оболочки Windows для осуществления следующих действий:

• очистки журналов событий Windows (Event Logs):

• удаления теневых копий томов с помощью vssadmin.exe и wmic.exe, удаления резервных копий состояния системы, отключения функции безопасности Windows DEP (Data Execution Prevention):

• попытки добавления пути в список исключений Windows Defender (в коде программы допущена ошибка: вместо непосредственной команды выполняется ее форматная строка):

• отключения/удаления Windows Defender (в команде, которая осуществляет модификацию параметра реестра для отключения антивируса Windows Defender, указан некорректный путь к разделу системного реестра):

Для предотвращения восстановления данных программа-вымогатель после шифрования файлов осуществляет очистку свободного пространства дисков хоста с помощью содержащейся в ней программы-вайпера.

Программа-вымогатель в процессе своего функционирования ведет текстовый файл отчета в текущем каталоге (рис. 5).

Рис. 5. Пример файла отчета программы-вымогателя BlackShadow

Имена файлов, используемые программами-вымогателями BlackShadow:

Нередко спутником программ-вымогателей BlackShadow и Proxima в целом, как и в случае с BlackBit / LokiLocker, становится безвредный файловый вирус Neshta.

Шифрование файлов

Программа-вымогатель шифрует файлы на фиксированных, съемных и сетевых дисках. Если при запуске программы указан аргумент командной строки «-nonetdrive«, шифрование файлов на сетевых дисках не осуществляется.

Для шифрования файлов в программе-вымогателе используется  высокопроизводительная реализация многопоточности с использованием I/O (Input/Output) Completion Port (IOCP).

Имена каталогов, пропускаемых программой-вымогателем при шифровании (для варианта с расширением «BLackShadow«):

Имена файлов, пропускаемых программой-вымогателем при шифровании (для варианта с расширением «BLackShadow«):

Также не шифруются файлы с именами, которые программа-вымогатель использует для создаваемых ею файлов.

Расширения файлов, пропускаемых программой-вымогателем при шифровании (для варианта с расширением «BLackShadow«):

Также не шифруются файлы с расширением, которое программа-вымогатель использует для зашифрованных файлов.

Для получения доступа к файлу программа-вымогатель может завершать процессы, которые блокируют доступ к указанному файлу. Для получения информации о таких процессах программа использует функции Windows Restart Manager (RstrtMgr.dll). Программа-вымогатель не завершает процессы, имена которых содержат следующие подстроки (для варианта с расширением «BLackShadow«):

Также шифровальщик для получения доступа к файлу может пытаться изменить права владения им с помощью функций Access Control List (ACL) API SetEntriesInAclW и SetNamedSecurityInfoW.

Состав «белых» списков несколько различается в программах-вымогателях BlackShadow, но по нему можно сделать недвусмысленный вывод, что пользователи программного обеспечения Yandex и Kaspersky Lab являются одними из целей злоумышленников. Примечательно, что во всех программах-вымогателях BlackShadow в составе «белого» списка имен используется строка с ошибочно введенным начальным пробелом – » YandexDisk2.exe«.

Шифрование данных программами-вымогателями BlackShadow осуществляется с использованием алгоритма потокового шифрования ChaCha20/8. Для каждого файла в программе-вымогателе производится генерация 32-байтного закрытого ключа (private key) и 8-байтного одноразового кода (nonce). Для генерации случайных данных используется функция Cryptography API: Next Generation BCryptGenRandom.

Из сгенерированного закрытого ключа путем протокола обмена ключей Elliptic curve Diffie–Hellman (ECDH), реализованного с помощью Curve25519, вычисляются 32-байтные открытый (public key) и общий (shared secret key) ключи. Используемый для обмена отрытый ключ атакующих содержится в коде программы. От полученного общего ключа вычисляется хеш-сумма SHA256, которая используется в качестве ключа шифрования ChaCha20/8.

В программе-вымогателе в реализации алгоритма шифрования ChaCha20/8 используются нестандартные константы, о чем мы говорили в самом начале:

0x64726168, 0x65726F63, 0x6F6C6220, 0x626F6A77 («hardcore blowjob«).

Шифрование файлов может быть осуществлено несколькими способами (режимами):

Выбор способа (режима) зависит от расширения и размера файла, а также он может быть непосредственно указан в значении аргумента командной строки «-mode».

По умолчанию программа шифрует полностью (full) файлы со следующими расширениями (для варианта с расширением «BLackShadow«):

Остальные файлы шифруются блоками (split) c интервалом по умолчанию 4 МБ. Размер интервала может быть указан в значении параметра командной строки «-skip».

По умолчанию в программе-вымогателе установлен приоритет шифрования больших файлов, размер которых 10 МБ и более. Если в командной строке шифровальщика указан аргумент «-priority off«, данный приоритет отключается.

После шифрования содержимого файла в его конец добавляется блок метаданных размером 64 байта.

Во избежание повторного шифрования программа-вымогатель перед  шифрованием файла дополнительно проверяет наличие метаданных в его конце, для этого программа вычисляет и сравнивает контрольную сумму CRC32 открытого ключа. При соответствии файл не шифруется.

Имена зашифрованных файлов имеют следующий вид:

<FILENAME>.<RANSOM_EXT>, где:

• FILENAME – оригинальное имя файла;
• RANSOM_EXT – строка, содержащаяся в коде программы, которая используется в качестве расширения.

В каждом обработанном каталоге программы-вымогатели BlackShadow создают текстовые файлы с требованием выкупа за расшифровку файлов, их текст в зависимости от варианта BlackShadow несколько различается между собой (рис. 6 и рис. 7). Варианты BlackShadow с расширениями зашифрованных файлов «BLackSh«, «BLackShadow«, «BlackStore» используют для файлов с требованием выкупа имя «<RANSOM_EXT>_Help.txt«, где RANSOM_EXT – расширение зашифрованных файлов, а вариант с расширением «Black» – имя «Black_Recover.txt«.

Рис. 6. Содержимое BLackShadow_Help.txt

Рис. 7. Содержимое Black_Recover.txt

Идентификатор ID представляет собой первые 8 байт открытого ключа атакующих в шестнадцатеричном представлении (16 шестнадцатеричных символов в верхнем регистре).

Очистка  свободного дискового пространства

Для очистки свободного пространства дисков хоста программа-вымогатель извлекает в каталог %CommonAppData% содержащуюся в ее теле вспомогательную программу-вайпер и запускает ее.

Вайпер создает для каждого диска поток, который записывает в скрытый файл «0F3LWP.tmp» корневого каталога каждого диска 512-килобайтные блоки с нулевым заполнением до тех пор, пока запись в файл не вызовет ошибку. Сразу после закрытия файла он автоматически удаляется (флаг FILE_FLAG_DELETE_ON_CLOSE функции CreateFileW).

При запуске вайпера может быть указан один из следующих параметров командной строки:

После завершения своей работы вайпер удаляет свой исполняемый файл.

В процессе работы вайпер создает мьютекс «Global\FSWiper«.

Параметры командной строки BlackShadow

Подсемейства программ-вымогателей Proxima

Как мы уже выяснили, существует достаточно большое количество вариантов программ-вымогателей Proxima:

И этот список явно не полный, некоторые расширения для зашифрованных файлов используются один раз и более не повторяются. Неудивительно, если какая-то часть программ-вымогателей Proxima не попала в поле нашего зрения.

Помимо внешних отличий между программами-вымогателями Proxima есть и некоторые внутренние, например могут несколько различаться режимы шифрования содержимого файлов, использоваться различные способы удаления теневых копий томов, в некоторых программах-вымогателях Proxima отсутствует и не используется вайпер свободного дискового пространства. Даже в рамках одного подсемейства отдельные программы могут различаться от своих «собратьев» и походить больше на  программы другого подсемейства.

При этом большинство программ-вымогателей Proxima используют одну и ту же программу-вайпер, созданную 1 января 2023 года. Эта дата и используется нами в качестве условного «дня рождения» Proxima. В июльском варианте BlackShadow была использована программа-вайпер, скомпилированная уже 1 июня 2023 года.

Ниже мы сгруппировали наиболее похожие между собой программы-вымогатели Proxima.

• RANSOMEXT – расширение зашифрованных файлов (BTC, FAST, havoc, alvaro, Merlin, resq100, Cylance, BLackSh, BLackShadow, BlackStore, Black, uploaded, transferred, Antony);
• EMAIL – адрес основной электронной почты атакующих;
• ID – идентификатор атакующих (первые 8 байт открытого ключа атакующих в шестнадцатеричном представлении);
• FILENAME – оригинальное имя файла;
• PATH – путь для шифрования файлов;
• RATIO – интервал в 128-килобайтных блоках для режима шифрования блоками;
• SKIP – интервал для режима шифрования блоками (split).

Cylance

Рис. 11. Пример содержимого CYLANCE_README.txt

Подсемейство Cylance несколько выделяется среди других подсемейств Proxima. Авторы Cylance позаимствовали несколько идей у программы-вымогателя BlackMatter. Так, алгоритм получения идентификатора жертвы U-ID в Cylance практически идентичен BlackMatter. Аналогично BlackMatter программы Cylance отправляют злоумышленникам информацию о скомпрометированном хосте и результаты шифрования в виде HTTP-запросов POST. Указанная информация направляется соответственно по следующим ссылкам:

• http://139.99.233.175/r1.php
• http://139.99.233.175/r2.php

Содержащийся в программах-вымогателях Cylance открытый ключ и соответствующий ему закрытый ключ, находящийся у злоумышленников, используются в качестве мастер-ключей. Для шифрования файлов на хосте программа-вымогатель генерирует пару сессионных ключей Curve25519. Сессионный открытый ключ используется так же, как описано в разделе, посвященном шифрованию файлов в BlackShadow, сессионный закрытый ключ шифруется с помощью еще одной дополнительно сгенерированной пары ключей Curve25519 и открытого мастер-ключа. Таким образом, для расшифровки файлов на компьютере необходим сессионный закрытый ключ. Данные с зашифрованным сессионным закрытым ключом размером 100 байт в составе метаданных дописываются в конец каждого зашифрованного файла, а также в кодировке Base64 в значение Key (рис. 11) текстовых файлов с требованием выкупа «CYLANCE_README.txt«. Для расшифровки сессионного закрытого ключа из этих данных потребуется закрытый мастер-ключ атакующих.

Как видно из таблицы, сборка программы-вымогателя Cylance от 2023-03-24 отличается от других программ подсемейства. Для нее существует версия для Linux, разработанная на основе опубликованных исходных кодов Babuk для ESXi. Так же, как и в Windows-версии, для шифрования файлов используется алгоритм шифрования ChaCha20/8 с нестандартными константами «hardcore blowjob«, идентичны у этих версий и форматы метаданных зашифрованных файлов. Для сравнения: в оригинальном Babuk для ESXi для шифрования содержимого файлов используется другой, менее распространенный алгоритм потокового шифрования – Sosemanuk.

Заключение

Исследуя семейство BlackShadow, мы увидели много схожего с атаками, в которых используются программы-вымогатели LokiLocker / BlackBit, Dharma и другие подобные. При этом атакующие не преследуют политических мотивов, им все равно, в какой стране находится их будущая жертва, они просто получают тем или иным способом начальный доступ к ее инфраструктуре. Злоумышленники преследуют исключительно цель небольшой, но стабильной наживы. По нашим наблюдениям, российские компании среднего и малого бизнеса чаще других становятся жертвами таких атак.

Можно делать предположения, кто стоит за этими атаками. Но мы считаем, что гораздо важнее задумываться о защите своей ИТ-инфраструктуры. В атаках BlackShadow не используются изощренные и инновационные методы, сами атакующие не демонстрируют высокие компетенции, но при этом их атаки часто достигают результата. Перефразируя цитату Льва Николаевича Толстого, успешные компании, заботящиеся о своей информационной безопасности, похожи друг на друга, каждая пренебрегающая мерами безопасности компания несчастлива по-своему.

Рекомендации

1. Регулярно осуществлять установку критических обновлений операционной системы и используемых программных продуктов.
2. Настроить стойкие парольные политики для локальных и доменных учетных записей. Убедиться в использовании различных паролей для локальных администраторов на всех хостах инфраструктуры.
3. При разграничении прав доступа руководствоваться принципом минимально необходимых привилегий в системе, уделяя особое внимание сервисным учетным записям, а также учетным записям, используемым для выполнения автоматизированных задач и удаленного доступа.
4. Запретить прямой доступ по протоколу RDP к рабочим станциям и серверам из-за пределов внутренней сети.
5. Обеспечить надежную защиту средств удаленного доступа в ИТ-инфраструктуру, в том числе с помощью мультифакторной аутентификации.
6. Ограничить возможность использования личных устройств сотрудников для доступа в корпоративную сеть, в том числе через VPN.
7. Обеспечить глубину хранения журналов событий операционной системы и средств защиты информации не менее 3 месяцев.
8. Настроить сбор Windows событий:
   • успешных и неуспешных попыток входа;
   • включение/отключение учетных записей, их блокировка;
   • создание локальных и доменных учетных записей;
   • добавление пользователей в группы, особенно предоставляющие повышенные привилегии;
   • создание служб, процессов и задач в планировщике;
   • изменение доменных и локальных политик безопасности;
   • выполнение команд, при помощи различных командных интерпретаторов;
   • критические срабатывания встроенного защитника Windows (Windows Defender);
   • доступа к объектам общей сетевой папки;
   • очистки журналов событий.
9. Реализовать централизованный сбор событий в Windows-инфраструктуре и их передачу в систему сбора данных (например, стек ELK, SIEM).
10. Использовать для защиты конечных устройств решение F.A.C.C.T. Managed Extended Detection and Response (MXDR).
11. Для контроля уровня информационной безопасности инфраструктуры организации использовать решение F.A.C.C.T. Attack Surface Management (ASM).

Матрица тактик, техник и процедур (TTPs) BlackShadow на основе MITRE ATT&CK^®

Контактная информация атакующих

BlackShadow

• Black.Shadow2000@onionmail.org
• Black.Shadow2000@cyberfear.com
• Black.Store2000@onionmail.org
• Black.Store2000@cyberfear.com
• Black.Berserk@onionmail.org
• Black.Berserk@skiff.com

Proxima

• mikel@onionmail.com
• mikel@cyberfear.com
• jason@onionmail.org
• jason@cyberfear.com

BTC-azadi

• azadi33@smime.ninja
• azadi33@keemail.me
• azadibtc1@elizamail.site
• azadi3@keemail.me
• antistrees2000@keemail.me
• jackdecrypt@smime.ninja
• azadinew@tuta.io
• azadinew@outlook.es

.FAST

• fastdec@tutanota.com
• azadi3@outlookpro.net

.havoc

• aesdecrypt@gmail.com
• bnbrans@outlook.com

.alvaro
.harward

• alvarodecrypt@gmail.com
• alvarodecrypt@outlook.com

.Merlin

• Session messenger ID: 05752759728f65ca92b3d98fc72500cdb7c5b11eb7b17f7d8afc6b8ecdcbdedf6d
• Merlin@outlookpro.net
• Merlin@cyberfear.com
• Merlin@onionmail.org

.resq100

• resq100@onionmail.org
• resq100@cyberfear.com

Cylance

• Crypter@firemail.de
• Helper@firemail.de
• DecFile@onionmail.org
• DecFile@tutanota.com
• maliaver@msgsafe.io
• Ditavps@firemail.de
• mtzh0@msgden.com
• j9864@msgden.com
• netekan@keemail.me
• laminan@keemail.me
• lookalive@onionmail.org
• bloc.boy@yandex.com
• D4nte@onionmail.org
• Backup@cyberfear.com

Cylance (Linux)

• bestway4u@mailfence.com
• bestway4u@onionmail.com

.uploaded

• Support.team@onionmail.org
• Backup.team@cyberfear.com

.Antoni

• Antonia@onionmail.org
• Antoni@cyberfear.com

Индикаторы компрометации