Key Group Ransomware IOCs

security

Key Group, известная как keygroup777, за свою относительно короткую историю (с апреля 2022 года) использовала не менее восьми различных семейств ransomware - см. изображение ниже.

Key Group (keygroup777)

Kaspersky Lab смогли связать различные варианты с Key Group по их примечаниям к выкупам. За два с небольшим года существования группы они немного корректировали свои TTP с каждым новым вариантом ransomware. Например, механизм сохранения всегда использовался через реестр, но точная реализация отличалась в зависимости от семейства. В большинстве случаев использовался автозапуск, но мы также видели, как они использовали папку запуска.

Например, UX-Cryptor добавлял себя в реестр, как показано ниже.

Вариант вымогательской программы Chaos скопировал себя в папку $user\$appdata\cmd.exe и запустил новый процесс, а тот, в свою очередь, создал новый файл в папке запуска: $user\$appdata\Microsoft\Windows\Start Menu\Programs\Startup\cmd.url. В нем содержался путь к файлу с программой-вымогателем: URL=file:///$user\$appdata\cmd.exe.

Русскоязычные группировки обычно действуют за пределами России, но Key Group - исключение из этого правила. Их операции не слишком профессиональны и демонстрируют отсутствие комплексных навыков. Например, основным каналом C2 является репозиторий GitHub, что облегчает их отслеживание, а связь поддерживается через Telegram, а не через выделенный сервер в сети TOR.

Indicators of Compromise

MD5

  • acea7e35f8878aea046a7eb35d0b8330
  • bc9b44d8e5eb1543a26c16c2d45f8ab7
Комментарии: 0