Глобальная команда исследований и анализа Касперского (GReAT) выявила вымогательское ПО Elpaco, являющееся вариантом Mimic, которое активно используется в кибератаках как минимум с августа 2023 года.
Elpaco Ransomware
Изначально злоумышленники получали доступ к серверам жертв с помощью атак грубой силы по RDP и использовали уязвимость CVE-2020-1472, известную как Zerologon, для повышения привилегий. Elpaco имеет графический интерфейс, позволяющий злоумышленникам настраивать поведение вымогателя, включая отключение защитных механизмов и выполнение системных команд. Для поиска файлов она использует легитимную библиотеку Everything и шифрует файлы с помощью потокового шифра ChaCha20, а ключ шифруется по алгоритму RSA-4096, в результате чего файлы невозможно расшифровать без закрытого ключа. Для упаковки своего содержимого вымогатель использует механизм установщика 7-Zip и сбрасывает файлы в каталог со случайно сгенерированным UUID-именем. Среди файлов можно отметить DC.exe, который отключает Защитник Windows, и svhostss.exe, который имитирует легитимный процесс Windows, чтобы избежать обнаружения, и выполняет процесс шифрования. После шифрования файлов Elpaco удаляет себя и использует fsutil LOLBin для безопасного стирания следов своего присутствия, включая файл svhostss.exe. Он записывает свои действия в файл MIMIC_LOG.txt и сбрасывает ключевой файл session.tmp в каталог C:\temp. Эта программа-вымогатель была замечена в широкомасштабных атаках в разных странах, включая США, Россию, Нидерланды, Германию, Францию, Канаду, Румынию, Южную Корею и Великобританию.
Indicators of Compromise
MD5
- 33eeeb25f834e0b180f960ecb9518ea0
- b951e50264f9c5244592dfb0a859ec41
SHA1
- 61f73e692e9549ad8bc9b965e25d2da683d56dc1
- 8af05099986d0b105d8e38f305efe9098a9fbda6
SHA256
- 9f6a696876fee8b811db8889bf4933262f4472ad41daea215d2e39bd537cf32f
- e160d7d21c917344f010e58dcfc1e19bec6297c294647a06ce60efc7420d3b13
