Key Group, известная как keygroup777, за свою относительно короткую историю (с апреля 2022 года) использовала не менее восьми различных семейств ransomware - см. изображение ниже.
Key Group (keygroup777)
Kaspersky Lab смогли связать различные варианты с Key Group по их примечаниям к выкупам. За два с небольшим года существования группы они немного корректировали свои TTP с каждым новым вариантом ransomware. Например, механизм сохранения всегда использовался через реестр, но точная реализация отличалась в зависимости от семейства. В большинстве случаев использовался автозапуск, но мы также видели, как они использовали папку запуска.
Например, UX-Cryptor добавлял себя в реестр, как показано ниже.
1 2 3 4 5 6 7 8 9 | HKU\$usersid\Software\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell" = "$selfpath" HKU\$usersid\Software\Microsoft\Windows\CurrentVersion\Run "WindowsInstaller" = "$selfpath -startup" "MSEdgeUpdateX" = "$selfpath" HKU\$usersid\Software\Microsoft\Windows\CurrentVersion\RunOnce "System3264Wow" = "$selfpath --init" "OneDrive10293" = "$selfpath /setup" "WINDOWS" = "$selfpath --wininit" |
Вариант вымогательской программы Chaos скопировал себя в папку $user\$appdata\cmd.exe и запустил новый процесс, а тот, в свою очередь, создал новый файл в папке запуска: $user\$appdata\Microsoft\Windows\Start Menu\Programs\Startup\cmd.url. В нем содержался путь к файлу с программой-вымогателем: URL=file:///$user\$appdata\cmd.exe.
Русскоязычные группировки обычно действуют за пределами России, но Key Group - исключение из этого правила. Их операции не слишком профессиональны и демонстрируют отсутствие комплексных навыков. Например, основным каналом C2 является репозиторий GitHub, что облегчает их отслеживание, а связь поддерживается через Telegram, а не через выделенный сервер в сети TOR.
Indicators of Compromise
MD5
- acea7e35f8878aea046a7eb35d0b8330
- bc9b44d8e5eb1543a26c16c2d45f8ab7