Аналитики The DFIR Report задокументировали детали новой атаки с использованием программ-вымогателей (ransomware, вредоносное ПО для шифрования файлов с последующим требованием выкупа). Злоумышленники, действовавшие через инфраструктуру российской компании Virtualine, получили первоначальный доступ к корпоративной сети, используя уже скомпрометированные учетные данные. В течение девяти дней они провели масштабную разведку, создали привилегированные учетные записи для сохранения доступа (persistence, механизм поддержания присутствия в системе) и в конечном итоге развернули вредонос Lynx, зашифровав файлы на нескольких серверах. Общее время от проникновения до атаки вымогателем (Time to Ransomware, TTR) составило около 178 часов.
Описание
Инцидент начался в начале марта 2025 года с успешного входа в систему через протокол удаленного рабочего стола (RDP). Примечательно, что не было зафиксировано попыток подбора паролей или других атак на аутентификацию. Следовательно, злоумышленники, вероятно, получили действительные учетные данные заранее - через похитители информации (infostealer), утечки данных из других сервисов или приобрели доступ у брокеров начального доступа (initial access broker, специализированные посредники, продающие доступ к взломанным системам).
Сразу после проникновения злоумышленник начал активную разведку. В течение первых десяти минут он использовал стандартные утилиты Windows, такие как ipconfig и route print, а затем развернул сканер сети SoftPerfect Network Scanner (netscan). Этот инструмент позволил быстро идентифицировать ключевые системы, включая контроллер домена. Используя отдельный набор скомпрометированных учетных данных с правами доменного администратора, атакующий переместился на контроллер домена через RDP.
На контроллере домена злоумышленник создал три новые учетные записи, имитирующие легитимные имена пользователей. Например, одна из них была названа «administratr». Эти аккаунты были немедленно добавлены в привилегированные группы, такие как «Администраторы домена», что обеспечило злоумышленнику высокий уровень привилегий. Кроме того, для обеспечения устойчивости (persistence) на контроллер домена был установлен клиент удаленного доступа AnyDesk, хотя впоследствии он не использовался.
Шесть дней спустя атакующий вернулся в сеть, продолжив разведку с помощью netscan. Затем он загрузил инструмент NetExec через браузер Microsoft Edge и провел атаку распылением паролей (password spray) по порту 445. После этого злоумышленник вручную просмотрел несколько сетевых папок, содержащих конфиденциальные данные. Используя архиватор 7-Zip, он сжал целевые файлы в ZIP-архивы и эксфильтрировал их через временный файлообменник temp.sh.
На восьмой день инцидента атакующий сменил исходный IP-адрес, но продолжил использовать то же имя рабочей станции. Оба адреса принадлежали Railnet LLC, которая, по данным Intrinsec, является прикрытием для российской хостинговой компании Virtualine, известной поддержкой киберпреступной деятельности. В этот период злоумышленник подключился к дополнительным контроллерам домена и серверам гипервизоров, где провел углубленный анализ учетных записей и политик безопасности.
Кульминацией атаки стал девятый день. Злоумышленник подключился к нескольким серверам резервного копирования через RDP и удалил задачи бэкапов в консоли Veeam Backup & Replication. Затем на эти серверы, а также на файловые серверы, был загружен и исполнен вредоносный нагрузка (payload, полезная нагрузка злонамеренного кода) Lynx под именем «w.exe». Аргументы командной строки указывали на быстрое шифрование (всего 5% содержимого файлов) без печати уведомления о выкупе.
Эксперты отмечают, что атака демонстрирует высокий уровень подготовки. Злоумышленник эффективно использовал легитимные инструменты (LOLBins), что затрудняло обнаружение. При этом он почти не применял техник уклонения от защиты, полагаясь на скрытность и заранее полученные привилегии. Использование легальной лицензии на netscan и двух IP-адресов от одного провайдера указывает на возможную связь с профессиональными преступными группами.
Для защиты от подобных инцидентов специалисты рекомендуют внедрять многофакторную аутентификацию для всех критических сервисов, включая RDP, регулярно менять пароли и отслеживать подозрительную активность в журналах безопасности. Особое внимание следует уделять созданию новых учетных записей и нестандартным действиям привилегированных пользователей.
Индикаторы компрометации
IPv4
- 195.211.190.189
- 77.90.153.30
MD5
- 3073af95dfc18361caebccd69d0021a2
- 7532ff90145b8c59dc9440bf43dc87a5
- e2179046b86deca297ebf7398b95e438
SHA1
- 2b4b11d3ecffd82ed44db652cdd65733224f8e34
- 3e01df0155a539fe6d802ee9e9226d8c77fd96c9
- efe8b9ff7ff93780c9162959a4c1e5ecf6e840a4
SHA256
- 07b36c1660deb223749a8ac151676d8924bc13aa59e6712a3c14a2df5237264a
- 517288e12c05a92e483e6d80b9136c19bc58c46851720680bb6d1b7016034c37
- 6285d32a9491a0084da85a384a11e15e203badf67b1deed54155f02b7338b108
