Главная страница » IOC
0
2 года
IOC

NoEscape Ransomware IOCs

ransomware

Компания Cyble Research & Intelligence Labs (CRIL) обнаружила на одном из киберпреступных форумов недавно созданную программу Ransomware-as-a-Service (Raas) под названием "NoEscape", предлагаемую в конце мая 2023 года, и хотела нанять аффилированных лиц.


Утверждается, что эта программа на языке C++ разработана собственными силами без использования сторонних ресурсов и исходных кодов. Технические характеристики RaaS-модели, по всей видимости, позволяют ее операторам и филиалам использовать для вымогательства у своих жертв технику тройного вымогательства.

Содержание
  1. NoEscape Ransomware
  2. Indicators of Compromise
  3. URLs
  4. SHA256

NoEscape Ransomware

  • Вредоносная сборка поддерживает алгоритм шифрования ChaCha20 и RSA. Это метод гибридной криптографии, используемый сложными группами вымогателей для шифрования файлов и защиты ключей. При этом все ключи ChaCha20 шифруются глобальным ключом ChaCha20, а затем этот глобальный ключ шифруется открытым ключом RSA-2048.
  • Поддерживает безопасный режим Windows, в котором скрипт реализует серию последовательных команд, перезагружающих систему в безопасном режиме и впоследствии высвобождающих программу-вымогатель. В безопасном режиме полезная нагрузка может легко отключать продукты защиты конечных точек и шифровать файлы путем перезагрузки скомпрометированных систем. Этот метод доказал свою эффективность и действенность для вымогательства.
  • Использование асинхронного сканирования локальных сетей для выявления протоколов Distributed File System (DFS) и Server Message Block (SMB) позволяет им осуществлять латеральное перемещение, приобретать стойкость и уходить от обнаружения.
  • Использование общего шифрования предполагает использование единого ключа шифрования для шифрования всех файлов в сети или системе вместо использования уникального ключа для каждого файла. Это позволяет злоумышленнику ускорить шифрование при шифровании больших массивов данных. Однако в таких случаях возможна расшифровка зашифрованных данных жертвой.
  • Интегрированный сервис для поддержания анонимности транзакций Bitcoin. Однако метод, используемый для предотвращения отслеживания транзакций Bitcoin, не указан.
  • Поддерживаются операционные системы Windows Desktop XP - 11, Windows Server 2003 - 2022, Linux (включая дистрибутивы на базе Ubuntu и Debian), а также VMware ESXi.

Другие особенности:

Также поддерживаются настраиваемые параметры режима:

  • Ignore: игнорируется и не требует шифрования.
  • Fast: шифруется начало файла и обеспечивается максимальная скорость.
  • Strong: полное шифрование файла.
  • Balanced: быстрое и надежное шифрование файла по пятнам; параметры пятен вычисляются заблаговременно в зависимости от размера файла.

Позволяет задать приоритетный путь для шифрования и пути для игнорирования.

  • Остановка и удаление служб
  • Завершение выбранных процессов перед шифрованием.
  • Обеспечить поддержку размонтирования VHD-дисков при их обнаружении.
  • Обеспечить поддержку интеллектуального отключения процессов, блокирующих файлы.

Программа RaaS предоставляет следующие возможности для проведения операций:

  • Панель администратора размещена на Tor и обладает автоматизированным функционалом.
  • Полностью автоматизированный сайт утечки размещается на Tor с полной автоматизацией.
  • Возможность создания приватных чатов для тайного общения с компаниями Recovery.
  • Возможность генерировать сборки с различными настройками и одним ключом.
  • Возможность создания собственной поддержки в чате.
  • Обеспечивается круглосуточная поддержка по любым запросам.
  • Подсказки, убеждающие жертву ответить на сообщение.
  • Гостевая учетная запись для доступа к целевым чатам провайдеров и партнеров сети.

Распространившись по сети, вирус шифрует данные и требует выкуп. Если выкуп не выплачивается, преступники часто продают похищенные данные или публикуют их в публичных блогах и на интернет-форумах.

Операторы RaaS также предлагают специальный сервис для DDoS/спама за 500 тыс. долл. Этот метод может быть использован как дополнительная техника вымогательства для угроз и давления на целевые компании с целью получения выплат.

Операторы имеют нераскрытый механизм найма аффилированных лиц и навязывают условия, при которых они не должны атаковать компании в странах Содружества Независимых Государств (СНГ).

В дальнейшем выбор модели распределения прибыли RaaS осуществляется следующим образом:

  • Если выплата составляет >= 1 млн. долларов США, то 80% прибыли распределяется между аффилированными лицами.
  • Если выплата составляет >= 3 млн. долларов США, то 85% прибыли распределяется между аффилированными лицами.
  • Если выплата превышает 3 млн. долларов США, то 90% прибыли распределяется между аффилированными лицами.

Indicators of Compromise

URLs

  • https://github.com/bill-zhanxg/NoEscape.exe-Download/tree/main/NoEscape.exe

SHA256

  • d30d7676a3b4c91b77d403f81748ebf6b8824749db5f860e114a8a204bca5b8f
  • ddae4987dfc8fa45f03a363b64d3662a5dc9d71dcc70117a85a6bab9cee88525
Комментарии: 0
Похожие записи
0
1 день
IOC

ToyMaker, брокер первоначального доступа, работающий в сговоре с группировками двойных вымогателей

ransomware
В 2023 году Cisco Talos обнаружила широкомасштабную компрометацию критической инфраструктурной организации, в ходе которой было обнаружено наличие нескольких угроз.
0
5 дней
IOC

ToyMaker, брокер первоначального доступа, работающий в сговоре с бандами двойных вымогателей

security
В 2023 году Cisco Talos обнаружил компромат на предприятие критической инфраструктуры, который включал в себя брокера первоначального доступа, известного как ToyMaker.