Группировка Play Ransomware остаётся одной из самых продуктивных в мире с 2022 года. За это время её жертвами стали более 1200 организаций по всему миру, причём основная часть атак пришлась на США, Канаду и Великобританию. Особенно пострадали производственный сектор, бизнес-услуги и технологические компании. Однако за этими цифрами скрывается не менее интересная история - история непрерывной технической эволюции одного из ключевых инструментов группировки.
Описание
Речь идёт о программе Grixba. Это специализированный сборщик информации, который группировка Play использует до того, как приступить к шифрованию данных. Grixba сканирует скомпрометированную сеть и собирает сведения об установленном программном обеспечении, учётных записях пользователей, криптовалютных кошельках и данных мессенджеров. По сути, этот инструмент составляет подробную карту сети жертвы, отмечая средства защиты, системы резервного копирования, удалённое управляющее ПО и активные устройства.
Исследователи безопасности получили доступ к четырём образцам Grixba, охватывающим период в 26 месяцев - с сентября 2022 года по ноябрь 2024 года. Анализ этих образцов показывает удивительную историю: от простого монолитного инструмента до сложной модульной архитектуры и затем - осознанного возврата к минимализму.
Первая версия Grixba, выпущенная в сентябре 2022 года, представляла собой довольно примитивный инструмент. Её размер составлял около 164 килобайт. Все функции были упакованы в один исполняемый файл с помощью технологии Costura - метода встраивания зависимостей .NET в единый бинарник. Инструмент собирал данные в простые CSV-файлы и упаковывал их архиватором WinRAR в файл export.zip без какой-либо защиты паролем. Это была серьёзная уязвимость: любой специалист по реагированию, обнаруживший этот архив, мог немедленно увидеть всю собранную злоумышленниками информацию.
Уже через семь недель, в ноябре 2022 года, появилась версия 1.5. Её размер вырос незначительно - до 175 килобайт, - но функциональность расширилась. Инструмент получил возможность активного сканирования сети для обнаружения доступных хостов и начал собирать историю браузеров через протокол SMB. Это расширение было настолько заметным, что CISA и Агентство по кибербезопасности и защите инфраструктуры США выпустили отдельные предупреждения с правилами детектирования для систем обнаружения вторжений Snort.
Настоящий прорыв произошёл в мае 2023 года с выходом версии v2. Её размер взлетел до 727 килобайт - увеличение на 315 процентов. Это было не случайное раздувание кода, а осознанное наращивание возможностей. Разработчики полностью переработали архитектуру: весь код сканирования был вынесен в отдельную DLL-библиотеку, зашифрованную с помощью XOR и упакованную в файл data.dat. В рантайме программа расшифровывала этот файл, извлекая сканирующий модуль.
Кроме того, v2 отказалась от плоских CSV-файлов в пользу структурированной базы данных SQLite. Это потребовало встраивания целого движка базы данных, что и стало основной причиной роста размера бинарника. База данных содержала 18 таблиц с детальной информацией: активные хосты, история браузеров, установленное ПО, запущенные процессы, сведения о сессиях, сетевые маршруты и кэшированные учётные данные.
Но самое интересное - это попытка маскировки. Разработчики подделали метаданные PE-заголовка, чтобы процесс GT_NET.exe отображался как "SentinelOne Compatibility Wizard" - то есть выдавал себя за компонент известного продукта безопасности. Ирония ситуации в том, что Grixba как раз и предназначен для обнаружения SentinelOne и других средств защиты.
Тем не менее, именно эта версия привлекла повышенное внимание сообщества. Symantec опубликовала анализ в апреле 2023 года, затем последовали отчёты Field Effect MDR и CISA. Индикаторы компрометации - характерный размер в 727 килобайт, файл ExportData.db, наличие data.dat и inf_g.dll - стали хорошо известны защитникам.
Ответ группировки Play не заставил себя ждать. В ноябре 2024 года появилась версия v3, размер которой составил всего 118 килобайт - меньше, чем у оригинальной версии 2022 года. Это не упрощение, а преднамеренная архитектурная деградация, продиктованная уроками операционной безопасности.
Разработчики удалили встроенный движок SQLite и вернулись к сжатым архивам. Тяжёлый сканирующий модуль больше не встраивается в исполняемый файл, а доставляется отдельно. Поддельные метаданные SentinelOne исчезли. Список сканируемых продуктов сократился до наиболее часто встречающихся у жертв. Как сообщили исследователи в своём отчёте, все эти изменения сделали v3 невидимой для правил YARA, пороговых детекторов и поиска по хешам, настроенных на v2.
Анализ MITRE ATT&CK показал ещё одну важную тенденцию: количество детектируемых техник последовательно снижалось с 12 в первых версиях до 8 в v3. Бинарник становится всё тише. Например, ранние версии загружали библиотеки AMSI и WLDP из нестандартной памяти - это явный признак попытки обойти антивирусные интерфейсы. В v3 эти загрузки полностью исчезли.
Интересная деталь: первая и вторая версии использовали мьютекс CPFATE_2704_v4.0.30319, указывающий на ту же среду разработки и, вероятно, на того же разработчика. Этот мьютекс является надёжным кросс-версионным индикатором, позволяющим обнаружить оба образца независимо от их имени или размера.
Критически важно, что некоторые слабые стороны Grixba так и не были исправлены. Путь загрузки C:\Users\Public\Music\ через RDP остаётся неизменным во всех четырёх версиях. Это самый стабильный индикатор для защитников за всю двухлетнюю историю инструмента. Кроме того, все версии используют WMI и WinRM для сканирования, что порождает характерный шаблон сетевой активности. Ни одна версия не содержит защиты от песочниц или отладчиков.
Особый контекст добавляет подтверждённое в октябре 2024 года сотрудничество группировки Play с северокорейской государственной хакерской группой Jumpy Pisces, известной также как Andariel. Эта коллаборация могла повлиять на требования к инструментарию: более лёгкие и модульные средства лучше подходят для разнообразных сценариев вторжения.
История Grixba - это не просто технический анализ. Это наглядная демонстрация цикла обратной связи между создателями вредоносного ПО и сообществом защиты. Каждый публичный отчёт исследователей приводил к модификации инструмента. Каждое новое детектирующее правило обходилось. Защитники не могут полагаться на статические индикаторы, основанные на размере файла, его имени или метаданных. Единственная надёжная стратегия - выявление поведенческих паттернов, которые остаются неизменными независимо от версии инструмента.
Индикаторы компрометации
IPv4
- 84.239.41.12
Onion Domains
- b3pzp6qwelgeygmzn6awkduym6s4gxh6htwxuxeydrziwzlx63zergyd.onion
- j75o7xvvsm4lpsjhkjvb4wl2q6ajegvabe6oswthuaubbykk4xkzgpid.onion
- k7kg3jqxang3wh7hnmaiokchk7qoebupfgoik6rha6mjpzwupwtj25yd.onion
- mbrlkbtq5jonaqkurjwmxftytyn2ethqvbxfu4rgjbkkknndqwae6byd.onion
- p2qzf3rfvg4f74v2ambcnr6vniueucitbw6lyupkagsqejtuyak6qrid.onion
- whfsjr35whjtrmmqqeqfxscfq564htdm427mjekic63737xscuayvkad.onion
- x6zdxw6vt3gtpv35yqloydttvfvwyrju3opkmp4xejmlfxto7ahgnpyd.onion
SHA256
- 3621468d188d4c3e2c6dfe3e9ddcfe3894701666bad918bc195aba0c44e46e94
- 453257c3494addafb39cb6815862403e827947a1e7737eb8168cd10522465deb
- 5922b1a7172bd60b1353f2a3c4de2a03efba8d57d0f696d00868d4ef6fcbc218
- b4505ab44108e27d8a5311fe5ba32e2db88e70f0084b5c0b0b903e5b98f904b7
- c59f3c8d61d940b56436c14bc148c1fe98862921b8f7bad97fbc96b31d71193c
- f71476f9adec70acc47a911a0cd1d6fea1f85469aa16f5873dd3ffd5146ccd6b
- f81bd2ac937ed9e254e8b3b003cc35e010800cbbce4d760f5013ff911f01d4f9
- f8810179ab033a9b79cd7006c1a74fbcde6ed0451c92fbb8c7ce15b52499353a