Национальная группа экстренного реагирования на киберинциденты Пакистана (NCERT) объявила режим повышенной готовности для 39 ключевых министерств и ведомств в связи с волной атак шифровальщика "Blue Locker", нацеленного на критическую инфраструктуру страны. По данным официального представителя NCERT Имрана Хайдера, несколько пакистанских организаций уже подверглись атакам, причем нефтегазовая компания Pakistan Petroleum Limited (PPL) пострадала наиболее серьезно.
Описание
Активность злоумышленников совпала с празднованием Дня независимости Пакистана 14 августа, что указывает на возможную политическую мотивацию. В числе получателей экстренного предупреждения - Кабинет министров, МВД, МИД, Минфин, Минсвязи, Минюст и регулятор нефтегазовой отрасли OGRA. По мнению экспертов по кибербезопасности, масштаб и выбор целей свидетельствуют о скоординированной кампании, потенциально связанной с государственными акторами, маскирующимися под киберпреступников.
Технический портрет угрозы
"Blue Locker" использует PowerShell-загрузчик для отключения систем защиты, повышения привилегий и развертывания вредоносной нагрузки. После шифрования файлов с расширениями ".blue" или ".bulock16" программа оставляет в системах файл HOW_TO_BACK_FILES.html с требованиями выкупа. Аналитики компании Resecurity, изучившие образцы вредоноса, подтвердили применение гибридного шифрования AES-RSA, делающего восстановление данных без ключа злоумышленников практически невозможным.
Особенностью "Blue Locker" стал целенаправленный поиск процесса Chrome.exe через обфусцированную строку китайских иероглифов ("锗빔爡⳹凑销빉爣ⲻ凛锊빉牑"). Обнаружив браузер, вредонос принудительно завершает его работу для шифрования локальной базы паролей. При этом программа сознательно пропускает системные каталоги (Windows, Program Files) и файлы с расширениями .bat, .cmd, .ps1, чтобы избежать мгновенного краха операционной системы.
Геополитический контекст и ложные следы
NCERT связал "Blue Locker" с семейством Shinra, являющимся вариантом шифровальщика Proton. Ранее Shinra атаковал израильские организации, а его вариант Limba - китайские компании. В образцах Proton обнаруживались строки "ZhuDongFangYu" (система безопасности китайских ПК), что может указывать на "ложный флаг" для сбивания атрибуции. Resecurity подтвердила продажу исходного кода Proton в даркнете, что позволяет любым группам адаптировать его под новые кампании.
"Учитывая стабильные отношения Пакистана с Ираном и Китаем, маловероятно, что угроза исходит оттуда. Скорее, здесь замешана третья сторона", - отмечается в отчете Resecurity. Контакты для переговоров в ransom-note (Protonmail, Jabber, TOX) не позволили установить реальных владельцев.
Психологическая война и ответные меры
Параллельно с атаками в даркнете распространялись неподтвержденные заявления о компрометации данных PPL, что эксперты расценивают как элемент психологической операции. В самом PPL подтвердили инцидент 6 августа, активировали протоколы кибербезопасности и начали криминалистический анализ. Злоумышленники угрожали сливом данных контрактов и информации о сотрудниках в СМИ.
Индикаторы компрометации
IPv4
- 103.150.199.23
- 103.86.177.19
- 149.202.82.172
- 176.123.2.209
- 185.140.53.227
- 185.180.197.34
- 185.212.128.88
- 185.225.69.140
- 195.3.145.99
- 45.155.205.233
- 84.54.52.83
- 89.44.9.210
- 91.243.113.21
Domains
- backup-leaks.fun
- blue-decryptor.site
- shinra-encrypt-support.xyz
Onion Domains
- locker-c2.onion
MD5
- 6af349a30f95e01b87cd7dd4ddc8e3fe
SHA1
- 7e1cc4d2e4b35b95d6e4cba6c21e4b6f7f2783d1
SHA256
- 515bd71a8b3c2bce7b40b89ddfe2e94d332b0779d569c58117f8dcdcb8a91ed9
- 6eeb20cc709a18bf8845f7b678967b7f0ff96475cf51a261da87244886bbfd2e
- d3cc6cc4538d57f2d1f8a9d46a3e8be73ed849f7fe37d1d969c0377cf1d0fadc
- e6bd4ed287d1336206f5b4b65011e570267418799eb60c2d0d7496d5d9e95a33
