Несвятое семейство: как вымогатели LokiLocker и BlackBit атакуют российский бизнес

За прошедший год количество атак на российские компании с использованием программ-вымогателей выросло не менее чем на треть по сравнению с позапрошлым годом. К наиболее активным  в России шифровальщикам Phobos, Dharma, CryLock и другим прибавились программы-вымогатели на основе Babuk, Conti и LockBit. Эти шифровальщики преимущественно использовались для атак на западные компании, однако публикация в открытом доступе исходных кодов Babuk и Conti, а также билдера LockBit 3 Black привела к обратному эффекту. В период геополитической напряженности эти программы-вымогатели стали «оружием» в руках как хактивистов, так и киберпреступников. Параллельно ранее известные семейства программ-вымогателей, которые были достаточно редкими в России, стали все чаще использоваться для атак на российские организации. Одним из таких семейств является LokiLocker. Именно ему мы решили посвятить этот блог, а особый акцент сделаем на его подсемействе — BlackBit, которое активно используется в атаках на российский и белорусский бизнес.

Профайл вымогателей, работающих с шифровальщиками LokiLocker/BlackBit

«Принц Персии»: несколько слов о семействе LokiLocker

Первые программы-вымогатели LokiLocker появились летом 2021 года, нашим криминалистам довелось впервые столкнуться с программой-вымогателем семейства LokiLocker, а точнее, с результатами ее использования в марте 2022 года. От атаки пострадала компания в одной из стран Ближнего Востока. В следующем инциденте жертва оказалась также связана с Ближним Востоком. В дальнейшем география жертв стала расширяться, атаки с использованием LokiLocker стали фиксироваться по всему миру.  Среди пострадавших оказались, в том числе и российские компании.

В сентябре 2022 года появилось подсемейство BlackBit, которое стало активно использоваться для атак на средний и малый бизнес в России. Программы BlackBit по функциональным характеристикам практически идентичны LokiLocker, отличие лишь в нейминге: для зашифрованных файлов стало использоваться расширение «.BlackBit» (реже используются и другие расширения) и в записках с требованием выкупа стало указываться «Black Bit» вместо «Loki Locker«. Но, по сути, это идентичные программы-вымогатели.

При «первом знакомстве» программа-вымогатель LokiLocker показалась экспертам довольно странной и не похожей на другие. Например, при запуске программа проверяет установленные языки ввода. Если среди них установлен персидский язык (Persian), программа завершает свою работу. Также необычным является способ конфигурирования программы-вымогателя с помощью параметров, перечисленных в текстовом файле, а не с помощью, например, аргументов командной строки. Кроме того, программа-вымогатель имеет функционал по уничтожению данных на скомпрометированной системе по истечении срока выплаты выкупа, который обычно составляет 30 суток с момента первого запуска вымогателя.

В марте 2022 года ресерчеры компании BlackBerry опубликовали результаты исследования нового семейства программ-вымогателей LokiLocker, атакующих Windows-системы. В начале своего блога ресерчеры предположили, что проверка языка ввода в программе-вымогателе сделана специально авторами для проведения атак «под чужим флагом», чтобы обвинения падали якобы на злоумышленников, имеющих иранское происхождение. Однако в заключении авторы блога уже поставили под сомнение свои же первоначальные предположения.

Программы-вымогатели LokiLocker предоставляются для использования по партнерской программе (RaaS, Ransomware-as-a-Service), которая носит достаточно закрытый характер. Вначале в андеграунде фигурировали редкие сообщения по набору в LokiLocker RaaS, но общение велось не публично. Действительно, в первых атаках в записках с требованием выкупа указывались никнеймы, которые можно было найти в профильных группах Telegram на персидском языке, а также применялись утилиты, например, брутеры паролей, использующие в своем интерфейсе персидский язык.

Сейчас ясности в вопросе национальной принадлежности злоумышленников, использующих LokiLocker / BlackBit в своих атаках, у экспертов стало еще меньше. Глобализация коснулась и киберпреступности, и она давно уже стала международной. К слову сказать, в первой атаке, которую мы упоминали выше, использовалась программа LokiLocker с идентификатором атакующих – «Sklad«.

Для проведения атак владельцы RaaS компилируют партнерам программу-вымогатель, в которой указываются идентификатор атакующих и один или два адреса электронной почты для взаимодействия с жертвой. Коммуникация жертвы со злоумышленниками после шифрования данных осуществляется по электронной почте, в некоторых образцах BlackBit в записке с требованием выкупа может дополнительно указываться чат в Telegram. Имя собранной для партнеров программы соответствует первому адресу электронной почты, например: RickyMonkey@onionmail.org.exe

Некоторые образцы программ-вымогателей используются злоумышленниками в атаках  в различных регионах. Так, например, программа-вымогатель, замеченная в атаке на одну из российских компаний, применялась тремя месяцами ранее в атаке в другой стране.

Для партнеров BlackBit создан портал «Black Bit Premium» (рис. 1), этот ресурс также используется программами-вымогателями BlackBit для загрузки на скомпрометированную систему публичного ключа RSA (криптографический алгоритм с открытым ключом).

Рис. 1. Окно входа на портал Black Bit Premium

Стоит отметить, что во всех выявленных образцах BlackBit используется один и тот же набор мастер-ключей RSA. Напротив, в образцах LokiLocker, которые мы выявили за прошедший год, содержится 6 различных наборов мастер-ключей RSA.

До конца не очевиден смысл создания подсемейства BlackBit. Некоторые партнеры с одинаковыми идентификаторами и адресами электронной почты встречаются в образцах программ-вымогателей BlackBit и LokiLocker одного периода времени, например:

Возможно, BlackBit – премиальная партнерская программа, и появление BlackBit связано с перераспределением внутри RaaS или другими внутренними процессами.

Внимание на Россию: жертвы LokiLocker / BlackBit в мире

Поскольку партнеры, использующие LokiLocker / BlackBit, не были замечены за хищением данных у жертв, у них нет сайта для публикации украденных данных  (DLS, Data Leak Site). В связи с этим представляется затруднительным оценить в полной мере масштабы и географию всех их атак. Тем не менее криминалисты F.A.C.C.T. смогли собрать информацию о жертвах  LokiLocker / BlackBit, основываясь как на данные, полученные в результате реагирований на инциденты, так и данных из портала VirusTotal. Представленная ниже статистика охватывает период с апреля 2022 года по настоящее время.

Как мы видим из таблицы выше, партнеры LokiLocker / BlackBit работают практически по всему миру, но при этом довольно пристальное внимание уделяют России и Белоруссии — на эти страны приходится порядка 44% от общего числа атак с использованием LokiLocker / BlackBit.

KillChain LokiLocker / BlackBit: описание типовой атаки

Получение первоначального доступа

В качестве начального вектора атак злоумышленниками используют преимущественно скомпрометированные службы удаленного доступа (T1133) и, прежде всего, это RDP (Remote Desktop Protocol). Доступ через публично доступный терминальный сервер является одной из самых популярных техник получения первоначального доступа к ИТ-инфраструктуре жертвы у киберпреступников, промышляющих вымогательством за восстановление зашифрованных данных.

Для получения доступа к терминальному серверу атакующие могут использовать подбор имени пользователя и пароля (T1110). Также корректные учетные данные (T1078) могут быть приобретены злоумышленниками у других злоумышленников, например, в андеграунде у брокеров начального доступа.

Подготовка к развитию атаки

Получив первоначальный доступ, атакующие копируют на скомпрометированный хост набор инструментов или его часть (T1105), а также стремятся закрепиться и получить доступ к привилегированным учетным данным, чтобы получить возможность продвигаться по сети.

Для получения привилегированных учетных данных атакующие используют популярную легитимную утилиту mimikatz (T1003). Также программа-вымогатель LokiLocker / BlackBit имеет в конфигурации параметр «mimikatz«, в соответствии с которым программа загружает на хост из сети интернет утилиту mimikatz и запускает ее со следующими аргументами командной строки:

LOG_NAME – случайное имя файла отчета.

Для получения списка пользователей в Active Directory (T1087) некоторые партнеры пользовались .NET утилитой LoginParser (LoginParser.exe).

Для подбора паролей к учетным данным (T1110) атакующие используют различные сборки .NET утилиты AccountRestore (AccountRestore.exe, AccountRestore 2.exe)

Некоторые партнеры использовали утилиты NirSoft для извлечения паролей  (https://www.nirsoft.net/password_recovery_tools.html):

• CredentialsFileView  (CredentialsFileView.exe) (T1555.004);
• OperaPassView (OperaPassView.exe), WebBrowserPassView (WebBrowserPassView.exe) (T1555.003);
• RouterPassView (RouterPassView.exe) (T1552.001);
• VNCPassView (VNCPassView.exe) (T1552.002);
• PstPassword (PstPassword.exe) (T1552.001).

Сбор информации об ИТ-инфраструктуре

Для разведки сети атакующие используют следующие сетевые сканеры:

• Advanced Port Scanner (https://www.advanced-port-scanner.com/) (Advanced_Port_Scanner_2.5.3869.exе);
• SoftPerfect Network Scanner (https://www.softperfect.com/products/networkscanner/) (nasp.exe);

Атакующие используют различные версии консольной утилиты NS (NS.exe, 5-NS.exe) (рис. 2) для сканирования общих ресурсов сети (Shares) (T1135) и подключения их как сетевых дисков, а также монтирования скрытых томов. Ранее такие утилиты встречались в атаках с использованием программы-вымогателя Dharma.

Рис. 2. Консольная утилита NS

Для поиска файлов и папок атакующие использовали утилиту Everything (ET.exe). Это производилось, прежде всего, для поиска аутентификационных данных, сохраненных в текстовых файлах (T1552).

Также злоумышленники просматривали файлы-документы на хостах, но не похищали их. Предположительно, это делалось для оценки платежеспособности жертвы и определения суммы выкупа.

Продвижение по сети

Для продвижения по сети партнеры используют RDP (T1021.001) и учетные данные, которые были похищены или получены в результате успешного перебора паролей (brute force) (T1110).

Подготовка к развертыванию программы-вымогателя

Атакующие предварительно отключают антивирусное программное обеспечение до развертывания программы-вымогателя (T1562.001). Некоторые образцы программ-вымогателей LokiLocker / BlackBit неоднократно используются в атаках, эти образцы после первых атак могут быть загружены на портал VirusTotal, онлайн-песочницы и т.п., тем самым, информация о данных программах зачастую уже имеется в Windows Defender и антивирусных продуктах. Также «поведение» в системе программ-вымогателей LokiLocker / BlackBit давно известно многим антивирусным программам и EDR. Все это вынуждает злоумышленников предварительно нейтрализовывать установленные в скомпрометированной системе средства безопасности.

Для нейтрализации средств безопасности атакующие могут использовать следующие легитимные утилиты:

• Process Hacker (PH.exe);
• KAV Removal Tool (KAVREMVR.exe);
• ESET AV Remover (avremover_nt32_enu.exe, avremover_nt64_enu.exe);
• IObit Unlocker (unlocker-setup.exe);
• Revo Uninstaller (RevoUninProSetup.exe).

Развертывание программы-вымогателя

Распространение программы-вымогателя по ИТ-инфраструктуре жертвы производилось атакующими преимущественно вручную (T1570).

При расследовании атаки на одну из российских компаний был выявлен запуск злоумышленниками старого файлового вируса Neshta. Впоследствии были выявлены еще несколько образцов программ-вымогателей LokiLocker / BlackBit из атак в других странах, также инфицированных вирусом Neshta. Возможно, атакующие использовали инфицированный инструмент, либо вирус использовался в качестве оригинального способа противодействия средствам безопасности.

В большинстве случаев шифрование данных жертвы производилось в выходные дни. Продолжительность атак с использованием программ-вымогателей LokiLocker / BlackBit  составляет, по нашим оценкам, от суток до нескольких дней.

Для расшифровки данных для каждого хоста требуется свой декриптор, злоумышленники берут оплату за расшифровку в зависимости от количества хостов, которые требуется расшифровать.

Анализ программы-вымогателя BlackBit

Программа-вымогатель LokiLocker / BlackBit представляет собой сборку .NET (v4.0.30319), разработанную на языке программирования C#. Исполняемый файл программы-вымогателя имеет формат PE32, крайне редко – PE32+.

Все образцы LokiLocker / BlackBit обфусцированы. Ранее для обфускации LokiLocker использовался протектор NETGuard с использованием плагина виртуализации KoiVM v0.2.0-custom. Для всех образцов BlackBit используется один и тот .NET обфускатор. Этот же обфускатор также используется для половины образцов LokiLocker и вспомогательных утилит. Примечательно, что после обфускации данный протектор устанавливает в защищенных образцах значение временной метки PE (PE timestamp), равное 5000A574h, что соответствует 2012-07-13 22:47:16 (UTC), и значение контрольной суммы, равное 0x00023BFB.

Ранее уже было сказано, что при запуске программа-вымогатель проверяет на скомпрометированной системе установленные языки ввода. Если установлен персидский язык (Persian), программа завершает свою работу. Также в коде программы содержится строка «Iran«.

При запуске LokiLocker возможно указать аргумент командной строки «log«, чтобы программа создавала текстовый файл отчета «logs.txt» в текущем каталоге. Однако в BlackBit такая возможность отсутствует.

Программа осуществляет попытку открытия в текущем каталоге текстового файла конфигурации «loki.txt» (описание параметров конфигурации приведено ниже). В некоторых последних образцах BlackBit для файла конфигурации используется имя «b.txt«. Если данный файл существует, он копируется в каталог «%AllUsersProfile%«:

Если в конфигурационном файле «%AllUsersProfile%\config.BlackBit» не указан параметр отключения автозапуска «nostartup«, программа осуществляет следующие действия:

• создает копии своего исполняемого файла в каталоге Startup текущего пользователя под именем «winlogon.exe» и под случайным именем;
• копирует свой исполняемый файл в каталог «%AppData%«:
  %AppData%\winlogon.exe
• создает задачу планировщика:
  schtasks /CREATE /SC ONLOGON /TN BlackBit /TR %AppData%\winlogon.exe /RU SYSTEM /RL HIGHEST /F
• копирует свой исполняемый файл в каталог %AllUsersProfile%:
  %AllUsersProfile%\winlogon.exe
• создает следующий параметр в системном реестре:
  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Invoke]
  «Michael Gillespie»=»%AllUsersProfile%\winlogon.exe»
• копирует свой исполняемый файл в каталог CommonStartup под именем «winlogon.exe«;
• копирует свой исполняемый файл в каталог «%Windows%«:
  %Windows%\winlogon.exe
• создает параметр в системном реестре:
  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Invoke]
  «Michael Gillespie»=»%Windows%\winlogon.exe»
• извлекает в каталог Startup текущего пользователя пакетный файл «wvtymcow.bat» со следующим содержимым:
  REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f

Далее программа извлекает файл с иконкой, которую ассоциирует в системе с расширением зашифрованных файлов «.BlackBit«. Также программа извлекает HTA-файл «%AllUsersProfile%\info.BlackBit» с требованием выкупа за расшифровку и таймером отсчета времени выплаты, компилирует с помощью Csharp содержащийся в теле программы исходный код на C# в EXE-файл со случайным именем в каталог «%AllUsersProfile%«. Данный EXE-файл при запуске выводит сообщение о шифровании файлов (рис. 3) и открывает с помощью mshta.exe HTA-файл «%AllUsersProfile%\info.BlackBit«. Программа-вымогатель регистрирует указанный EXE-файл в реестре, как обработчик открытия файлов с расширением «.BlackBit«:

RND – случайное имя.

Рис. 3. Сообщение о шифровании, открываемое при открытии файлов «.BlackBit» (пример)

Программа-вымогатель проверяет наличие администраторских прав пользователя, при отсутствии пытается запустить свой исполняемый файл из-под администраторской учетной записи (runas). В случае неудачи, программа завершает свою работу.

Программа завершает следующие процессы:

Программа останавливает следующие системные службы:

Для удаления теневых копий разделов, удаления резервных копий состояния системы, отключения восстановления в загрузочном меню Windows, а также для отключения брандмауэра Windows выполняет следующие команды:

Также программа-вымогатель удаляет точки восстановления системы, очищает корзину и отключает Windows Defender с помощью изменения значений параметров реестра Windows:

Далее программа-вымогатель с помощью функций WinInet API направляет HTTP-запрос POST на ресурс злоумышленников «http://application-api.xyz/api/index.php» (User-Agent: «BlackBit/1.0«)  со следующими данными:

• ID – идентификатор жертвы, соответствующий серийному номеру системного тома (8 шестнадцатеричных символов), либо серийному номеру жесткого диска #0;
• DISK_SIZE – размер диска;
• USER – идентификатор атакующих (имя пользователя партнерского портала);
• CPU_NAME – название процессора;
• RAM_SIZE – размер оперативной памяти;
• OS_NAME – название и версия операционной системы.

В ответ программа получает данные в формате JSON, в которых содержится публичный ключ RSA, предназначенный для шифрования данных.

Если публичный ключ не удается загрузить с интернет-ресурса атакующих, программа создает пару ключей RSA-2048 с помощью класса .Net RSACryptoServiceProvider. Сгенерированный приватный ключ в формате XML, а также информация о системе шифруются с помощью содержащихся в теле программы публичных ключей RSA. В программе содержится 5 публичных ключей RSA: 4 публичных ключа RSA-4096 и 1 публичный ключ RSA-3072. Публичные ключи RSA-4096 используются для шифрования по частям приватного ключа в формате XML, а ключ RSA-3072 используется для шифрования информации о системе.

Информация о системе содержит следующие данные (рис. 4): идентификатор жертвы; размер диска; название процессора; размер оперативной памяти; временная зона; формат региона; внешний IP-адрес, полученный с помощью HTTP-запроса по ссылке «http://ip-api.com/json«; адреса электронной почты и идентификатор атакующих; логический результат проверки работоспособности функций Cryptography API: Next Generation (CNG) (0 или 1).

Рис. 4. Так выглядит содержимое информации о скомпрометированной системе до шифрования

Общий размер указанных зашифрованных данных составляет 2 432 байта. Эти зашифрованные данные в кодировке Base64 сохраняются в файл «%AllUsersProfile%\Cpriv.BlackBit«. Также зашифрованные данные записываются в параметр системного реестра:

ENC_PRIVKEY_DATA – зашифрованные приватный ключ RSA-2048 и информация о системе.

Полученный или сгенерированный публичный ключ RSA, а также время окончания срока выплаты выкупа сохраняются в раздел реестра (рис. 5):

• ENC_PUBKEY_DATA – зашифрованный с помощью побайтовой операции XOR со значением 11h публичный ключ RSA-2048 в формате XML.
• ENC_TIMER_DATA – зашифрованная с помощью побайтовой операции XOR со значением 54h строка со временем окончания срока выплаты выкупа за расшифровку данных. Обычно время окончания срока выплаты соответствует времени спустя 30 суток после первого запуска программы-вымогателя на компьютере.

Рис. 5. Раздел реестра BlackBit

Если параметр системного реестра «public» существует, получение или генерация ключей RSA-2048 не осуществляется, программой используется ключ, извлеченный из указанного параметра реестра.

В последних выявленных образцах LokiLocker функциональность по загрузке публичного ключа RSA с ресурса злоумышленников не используется, пара ключей RSA генерируются непосредственно на компьютере.

Шифрование файлов

Программа-вымогатель осуществляет многопоточное шифрование файлов на всех дисках и на доступных сетевых ресурсах. Перед шифрованием LokiLocker монтирует скрытые тома, однако BlackBit этого не осуществляет.

Программа-вымогатель не шифрует файлы в каталогах с установленным атрибутом «системный», а также в следующих каталогах:

Программа-вымогатель не шифрует свои файлы: файлы с расширениями «.BlackBit» и с именами «Restore-My-Files.txt«, «info.hta«.

По умолчанию, если не установлен параметр «full«, не шифруются файлы со следующими расширениями:

«.exe«, «.dll«, «.msi«, «.com»

В некоторых образцах BlackBit параметр «full» не используется, в этом случае осуществляется шифрование всех файлов.

Файлы размером до 1 572 864 байт шифруются полностью. В файлах большего размера шифруются 3 блока по 256 килобайт: в начале, конце и середине файла. Шифрование содержимого файлов производится с помощью алгоритма шифрования AES-256 GCM (Galois/Counter Mode), реализованного с помощью функций CNG API. Генерация 32-байтного ключа и 12-байтного nonce осуществляется с помощью функции CNG API BCryptGenRandom. Ключ и nonce шифруются с помощью сгенерированного или загруженного публичного ключа RSA-2048 и дописываются в конец зашифрованного файла (256 байт).

Зашифрованные файлы именуются следующим образом:

• EMAIL1 – первый адрес электронной почты атакующих.
• ID – идентификатор жертвы, соответствующий серийному номеру системного тома (8 шестнадцатеричных символов), либо серийному номеру жесткого диска #0.
• FILENAME – оригинальное имя файла.

Реже в некоторых образцах для зашифрованных файлов используются  другие расширения, например, «.KTBR» и «.onion700«.

В каждом обработанном каталоге вымогатель создает текстовые файлы Restore-My-Files.txt с требованием выкупа (рис. 6).

Рис. 6. Пример содержимого файла Restore-My-Files.txt

Если ключи были сгенерированы на компьютере, на каждом диске создаются файлы Cpriv.BlackBit, и в этом случае в текстовые файлы Restore-My-Files.txt добавляется следующая строка:

!!!Deleting «Cpriv.BlackBit» causes permanent data loss.

Для зашифрованных томов вымогатель устанавливает метку «Locked by BlackBit«.

На каждом диске программа-вымогатель создает файлы info.hta (рис. 7).

Рис. 7. Вид требования выкупа при открытии info.hta

Программа изменяет обои рабочего стола (рис. 8).

Рис. 8. Вид рабочего стола после шифрования

Также программа помещает текст с информацией о шифровании файлов на экран входа пользователя в систему (рис. 9):

Рис. 9. Пример текста с информацией о шифровании файлов, которую видит пользователь на экране

Также программа изменяет информацию Original Equipment Manufacturer (OEM) в системном реестре:

• EMAIL1 – первый адрес электронной почты атакующих.
• ID – идентификатор жертвы, соответствующий серийному номеру системного тома (8 шестнадцатеричных символов), либо серийному номеру жесткого диска #0.
• EMAIL2 – второй адрес электронной почты атакующих.

После завершения шифрования файлов для затруднения их восстановления LokiLocker запускает дефрагментацию всех томов с помощью команды:

defrag /C /H

В программах-вымогателях BlackBit запуск дефрагментации не осуществляется.

Уничтожение данных

Ранее мы уже говорили, что в значении параметра «timer» раздела реестра «HKCU\SOFTWARE\BlackBit» содержится зашифрованная строка (XOR 54h) со временем окончания срока выплаты выкупа, которое соответствует времени  спустя 30 суток после первого запуска программы-вымогателя на компьютере.

Программа-вымогатель проверяет текущее время, если оно превышает указанное в параметре реестра «timer», программа удаляет все файлы и перезаписывает MBR жесткого диска #0 (PhysicalDrive0). При загрузке с указанного жёсткого диска после перезаписи MBR в этом случае будет отображаться текст (рис. 10).

Если в файле конфигурации указан параметр «nofuck«, то программа в этом случае лишь не блокирует запуск Task Manager путем изменения значения параметра «DisableTaskMgr» в системном реестре. Если программа запущена и текущее время превышает время ультиматума, то также будет произведено уничтожение данных.

Рис. 10. Загрузка системы после перезаписи MBR

Дополнительные функции

В некоторых образцах LokiLocker содержится полезная нагрузка Loki.Payload.dll в виде сборки .NET (v4.0.30319).

Данная полезная нагрузка при отсутствии файла «C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe«, загружает его по ссылке «http://imagesource.zapto.org/bin/vbc.exe«.

Также полезная нагрузка пытается загрузить данные по ссылке «http://imagesource.zapto.org/bin/win7.jpg«, из которых распаковывает и расшифровывает программный модуль. Если загрузить не удается, используется программный модуль, содержащийся в ресурсах полезной нагрузки.

Программный модуль внедряется в запущенный полезной нагрузкой процесс «C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe«.

В ресурсах полезной нагрузки находится программный модуль формата PE32 (EXE), содержащий код Meterpreter Shellcode Loader, который загружает Shellcode по адресу 157.90.17.53:7300 и передает ему управление.

Конфигурация программы-вымогателя

При запуске программа проверяет наличие файла конфигурации «loki.txt» в текущем каталоге, если файл существует, он копируется под именем %AllUsersProfile%\config.BlackBit. В некоторых последних образцах BlackBit для файла конфигурации используется имя «b.txt«.

Файл конфигурации представляет собой текстовый файл (рис. 11), в каждой строке которого могут содержаться параметры. Проверка строки с параметром осуществляется с учетом регистра.

Рис. 11. Пример содержимого файла конфигурации LokiLocker / BlackBit

Странно, что партнеры, которые используют в атаках BlackBit, не совсем осведомлены о параметрах конфигурации BlackBit. Вполне возможно, что параметры используются по привычке, полученной от использования LokiLocker. Представленный на рис. 11 пример взят из реальной атаки, при этом используемый в атаке образец BlackBit, игнорировал параметры «full» и «psexec» (см. ниже в таблице). В другой же атаке нам достался файл конфигурации, где были указаны параметры с первой заглавной буквой: «Clast«, «Nofuck«, «Psexec«.

Заключение

Партнеры LokiLocker / BlackBit не демонстрируют в атаках изощренных и инновационных методов. Успех атак во многом связан с легкомысленным отношением жертв к защищенности своих внешних сервисов удаленного доступа. Программы-вымогатели LokiLocker / BlackBit хорошо известны антивирусным средствам и другим средствам безопасности, однако и это не спасает от шифрования данных с помощью этих программ.

Многие пострадавшие организации с легкостью соглашаются на выплату небольших сумм выкупа ради расшифровки ключевых хостов своей сети и быстрого восстановления ИТ-инфраструктуры. Впоследствии, отделавшись легким испугом, они лишь номинально исправляют ситуацию с безопасностью своего периметра от угроз ИБ. В будущем нельзя исключать, что такие организации могут стать жертвой более изощренных преступников с суммами выкупа совсем другого порядка.

Очевидно, что история вымогателей будет продолжаться до тех пор, пока есть условия для осуществления подобных атак, жертвы, готовые платить злоумышленникам выкуп, а также возможность получения злоумышленниками этого выкупа с помощью неотслеживаемых транзакций.

Поскольку миссия F.A.C.C.T. — это борьба с киберпреступностью и защита наших клиентов в киберпространстве, мы считаем своей задачей делиться своими находками с коммьюнити по кибербезопасности и призываем исследователей совместно изучать сложные угрозы, обмениваться данными и использовать наши технологии, как инструмент борьбы со злоумышленниками.

В этом блоге приведен подробный анализ инструментов, техник и процедур (TTPs) группировок, описанных на основе матрицы MITRE ATT&CK® (Adversarial Tactics, Techniques & Common Knowledge). Эти сведения будут полезны организациям, которые борются с киберпреступностью, а также руководителям служб информационной безопасности, SOC-аналитикам, специалистам по реагированиям на инциденты, а также компаниям, чья отраслевая принадлежность потенциально относит их к списку целей вымогателей.

Рекомендации

1. Регулярно осуществлять установку критических обновлений операционной системы и используемых программных продуктов.
2. Настроить стойкие парольные политики для локальных и доменных учетных записей. Убедиться в использовании различных паролей для локальных администраторов на всех хостах инфраструктуры.
3. При разграничении прав доступа руководствоваться принципом минимально необходимых привилегий в системе, уделяя особое внимание сервисным учетным записям, а также учетным записям, используемым для выполнения автоматизированных задач и удаленного доступа.
4. Запретить прямой доступ по протоколу RDP к рабочим станциям и серверам из-за пределов внутренней сети.
5. Обеспечить надежную защиту средств удаленного доступа в ИТ-инфраструктуру, в том числе с помощью мультифакторной аутентификации.
6. Ограничить возможность использования личных устройств сотрудников для доступа в корпоративную сеть, в том числе через VPN.
7. Обеспечить глубину хранения журналов событий операционной системы и средств защиты информации не менее 3 месяцев.
8. Настроить сбор Windows событий:
   • успешных и неуспешных попыток входа;
   • включение/отключение учетных записей, их блокировка;
   • создание локальных и доменных учетных записей;
   • добавление пользователей в группы, особенно предоставляющие повышенные привилегии;
   • создание служб, процессов и задач в планировщике;
   • изменение доменных и локальных политик безопасности;
   • выполнение команд, при помощи различных командных интерпретаторов;
   • критические срабатывания встроенного защитника Windows (Windows Defender);
   • доступа к объектам общей сетевой папки;
   • очистки журналов событий.
9. . Реализовать централизованный сбор событий в Windows-инфраструктуре и их передачу в систему сбора данных (например: стек ELK, SIEM).
10. Использовать для защиты конечных устройств решение F.A.C.C.T. Managed Extended Detection and Response (MXDR).
11. Для контроля уровня информационной безопасности инфраструктуры организации использовать решение F.A.C.C.T. Attack Surface Management (ASM).

Матрица тактик, техник и процедур (TTPs) LokiLocker и BlackBit на основе MITRE ATT&CK^®

Конфигурация программы-вымогателя

Индикаторы компрометации