Crypto24: новая волна корпоративного вымогательства с продвинутым арсеналом

Группа применяет тактику «живи за счет земли» (Living-off-the-Land), максимально используя легитимные системные утилиты Windows, что затрудняет обнаружение. Одновременно с этим злоумышленники задействуют кастомные вредоносные (malicious, предназначенные для нанесения ущерба) инструменты. Ключевым элементом их арсенала является специализированная утилита RealBlindingEDR, созданная для отключения ведущих систем защиты конечных точек (Endpoint Detection and Response, EDR). Помимо шифрования данных, Crypto24 практикует двойной шантаж, похищая конфиденциальные файлы и угрожая их публикацией. Для выгрузки данных часто используется Google Drive.

Атака начинается с получения доступа, зачастую через скомпрометированные учетные записи. Злоумышленники манипулируют учетными записями, реактивируя заблокированные учетные записи администратора по умолчанию и создавая новые с неприметными именами. С помощью утилиты "net.exe" они добавляют эти аккаунты в группы «Администраторы» и «Пользователи удаленного рабочего стола», создавая избыточные привилегированные точки доступа для последующего перемещения по сети и развертывания вредоносного ПО.

Следующий этап - разведка. Операторы проводят профилирование системы, используя командную строку для выполнения скриптов, которые собирают данные о разделах диска, оперативной памяти и конфигурации оборудования. Параллельно перечисляются локальные учетные записи и членство в группах, что позволяет злоумышленнику оценить структуру прав доступа и наметить цели для латерального перемещения.

Для обеспечения устойчивости Crypto24 использует несколько механизмов. Создаются запланированные задачи для периодического выполнения скриптов, а также вредоносные службы, маскирующиеся под легитимные системные процессы. Например, служба "WinMainSvc" развертывает кейлоггер (программу для перехвата ввода с клавиатуры), а "MSRuntime" используется для самой программы-вымогателя. Дополнительное создание привилегированных учетных записей гарантирует, что доступ к системе сохранится даже при удалении отдельных компонентов.

Эскалация привилегий осуществляется через добавление учетных записей в группы администраторов, использование утилиты "runas.exe" для запуска процессов с повышенными правами и применение "PsExec" для удаленного выполнения команд. Это обеспечивает злоумышленнику полный административный контроль над скомпрометированными системами.

Наиболее показательным аспектом атаки является уклонение от защиты. Помимо создания скрытых учетных записей и сеансов RDP, группа развертывает инструмент, функционально схожий с RealBlindingEDR. Этот инструмент целенаправленно отключает драйверы ключевых поставщиков безопасности, включая Microsoft Defender, Kaspersky, Sophos, Trend Micro и других. Анализ кода показывает, что утилита динамически извлекает метаданные драйвера, сравнивает название производителя с заранее заданным списком и выборочно удаляет их функции обратного вызова, ослабляя защиту, но минимизируя риск нестабильности системы.

После консолидации на одной системе начинается латеральное перемещение. Злоумышленники используют "PsExec" для удаленного управления, модифицируют реестр для принудительного включения RDP и добавляют правила в брандмауэр, разрешающие входящие подключения на порт 3389. Для поиска новых целей в сети используется сканер IP-адресов, что позволяет расширить воздействие на всю корпоративную среду.

Сбор данных осуществляется с помощью кейлоггера "WinMainSvc.dll", который развертывается как служба Windows. Этот компонент перехватывает не только символьный ввод, но и специальные клавиши. Для обеспечения скрытности он проверяет, что запущен в контексте легитимного процесса "svchost.exe". Перехваченные данные эксфильтрируются (выгружаются) на серверы Google Drive через их же API, предварительно проверяя доступность соединения загрузкой тестового файла.

Финальная стадия - запуск самого вредоносного ПО Crypto24. Этот бинарный файл защищен обфускатором VMProtect, что затрудняет статический анализ. Для сокрытия вызовов API используется хеширование их имен. Программа-вымогатель повышает привилегии, эксплуатируя COM-интерфейс CMSTPLUA для обхода контроля учетных записей (UAC), метод, также встречающийся у таких семейств, как BlackCat и LockBit.

Постоянство обеспечивается установкой Crypto24 в качестве службы "MSRuntime". Шифрование нацелено на пользовательские и системные каталоги, включая папки приложений, при этом файлы, связанные с самой вредоносной программой, исключаются из процесса. После шифрования файлы получают расширение ".crypto24", а в систему помещается файл "Decryption.txt" с угрозами публикации данных. Завершается атака выполнением скриптов самоудаления, которые стирают следы присутствия.

Crypto24 демонстрирует высокую степень профессионализма, целенаправленно атакуя крупные предприятия в финансовом, производственном и технологическом секторах. Комбинация скрытных техник, продвинутых инструментов обхода защиты и тактики двойного шантажа делает эту группу одной из самых опасных на сегодняшний день. Защита от подобных угроз требует комплексного подхода, включающего строгий контроль учетных записей, мониторинг активности легитимных утилит и многоуровневые системы обнаружения вторжений.

SHA256

• 24f7b66c88ba085d77c5bd386c0a0ac3b78793c0e47819a0576b60a67adc7b73
• 3b0b4a11ad576588bae809ebb546b4d985ef9f37ed335ca5e2ba6b886d997bac
• 686bb5ee371733ab7908c2f3ea1ee76791080f3a4e61afe8b97c2a57fbc2efac