Новая группа вымогателей Kawa4096 использует тактику брендового мимикриа

Операционный потенциал и методы

Группа Kawa4096 использует Tor-сайт для публикации украденных данных, что свидетельствует о применении тактики двойного шантажа (Double Extortion). После взлома систем злоумышленники не только шифруют файлы, но и похищают конфиденциальную информацию, угрожая её обнародованием в случае отказа от выплаты выкупа. Организованный характер группы подчеркивается использованием для каждого пострадавшего уникального URL-адреса для доступа к его данным и ведения переговоров. Это указывает на системный подход к управлению атаками. Конкретные суммы требований и детали процесса переговоров пока остаются неизвестными.

Технический анализ вредоносной программы

Анализ исполняемого файла вымогателя выявил ряд характерных особенностей. При запуске без аргументов программа автоматически перезапускает себя с параметром "-all", что инициирует полный процесс шифрования файлов, подпадающих под заданные критерии. Среди других параметров командной строки выделяются "-d=<directory>" для шифрования указанного каталога и "-dump", который заставляет программу создавать дампы памяти процесса с помощью API "MiniDumpWriteDump". Для предотвращения конфликтов, связанных с множественным запуском на одной машине, программа создает мьютекс (объект синхронизации) с именем "SAY_HI_2025". Если мьютекс уже существует, процесс немедленно завершается, обеспечивая единоличный экземпляр вредоноса в системе.

Конфигурация атаки хранится внутри самого исполняемого файла в секции ресурсов и извлекается с использованием API-функций, таких как "LoadResource" и "FindResourceW". Эта конфигурация содержит обширный набор правил, определяющих поведение программы, включая списки исключений для шифрования, процессы для принудительного завершения и целевые директории.

Подготовка к шифрованию и логика исключений

Проанализированная конфигурация включает 17 полей, ключевые из которых предназначены для минимизации ущерба, способного сделать систему полностью неработоспособной, и сохранения возможности ведения переговоров. В списки исключений входят:

• "skip_exts": Расширения файлов, которые не подлежат шифрованию (например, .exe, .dll, .sys). Это позволяет избежать повреждения критических системных файлов и исполняемых программ.
• "skip_dirs": Каталоги, которые пропускаются при рекурсивном обходе (например, "Program Files", "Windows"). Цель - не нарушать работу операционной системы и ключевых приложений.
• "skip_files": Конкретные файлы, исключенные из шифрования (например, "boot.ini", "bootmgr"), что предотвращает scenarios, при которых система не сможет загрузиться.

Дополнительное поле "specify_dirs" теоретически позволяет ограничить шифрование определенными путями, но в анализируемом образце эта опция была отключена ("enable="0""), что указывает на проведение глобального шифрования по всем доступным локальным и сетевым дискам. Также присутствует список процессов ("kill_process"), которые принудительно завершаются перед началом шифрования. Это делается для разблокировки файлов, которые могут быть открыты этими приложениями (например, "excel.exe", "winword.exe", "sqlservr.exe"), а также для остановки потенциальных служб резервного копирования.

Процесс шифрования и тактика эффективности

Kawa4096 использует схему частичного шифрования для повышения скорости и эффективности атаки. Вместо полного шифрования каждого файла программа разбивает файлы на блоки (chunks) размером 64 КБ и шифрует только их часть, определяемую параметром "partial value" в конфигурации (например, 25%). Такой подход особенно эффективен против больших файлов: даже незначительное повреждение заголовков или индексов документов, баз данных или архивов делает файлы непригодными для использования, при этом достигается цель - вывести систему из строя. Для файлов размером менее 10 МБ может применяться полное или менее агрессивное частичное шифрование. Непосредственно для шифрования используется алгоритм Salsa20. Зашифрованные файлы получают новое расширение, состоящее из оригинального расширения и добавленной последовательности из 9 случайных букв и цифр.

Сообщение с требованиями выкупа и имитация бренда

Одной из наиболее примечательных особенностей Kawa4096 является высокое сходство его сообщения с требованием выкупа (ransom note) с записками, оставляемыми группой Qilin. Содержание и формат практически идентичны. Сообщение с названием "!!Restore-My-file-Kavva.txt" создается в каждом зашифрованном каталоге и в корне системного диска. В нем содержится уведомление о атаке, угрозы обнародования похищенных данных (перечисляются типы данных: информация о клиентах, сотрудниках, финансовые документы и т.д.) и инструкции по связи для переговоров. Для связи предлагается использовать onion-сайт через браузер Tor или идентификатор в мессенджере QTOX. Подтверждены случаи, когда группа действительно публиковала конфиденциальные данные жертв на своем сайте утечки, реализуя угрозы.

Уничтожение резервных копий

Чтобы максимально усложнить восстановление, Kawa4096 активно уничтожает теневые копии томов (Volume Shadow Copy Service) - ключевой механизм восстановления в Windows. С помощью инструментария WMI (Windows Management Instrumentation) программа запускает команды "vssadmin.exe Delete Shadows /all /quiet" и "wmic shadowcopy delete", что приводит к полному удалению этих точек восстановления. Это лишает жертву одного из самых эффективных встроенных средств для отката последствий атаки без выплаты выкупа.

Заключение

Появление Kawa4096 демонстрирует продолжающуюся эволюцию ландшафта угроз, связанных с программным обеспечением-вымогателем. Использование тактики мимикрии под более известную группу Qilin может быть попыткой воспользоваться ее "репутацией" для усиления давления на жертв. Сочетание двойного шантаза, частичного шифрования для скорости, тщательно продуманных списков исключений и агрессивного удаления резервных копий делает эту группу серьезной угрозой.

MD5

• 0bf4def902e36cc9174d89c14ec3dcac
• 64756bf452baa4da411e3a835c08d884
• c3ce46d40b2893e30bf00fce72c2e1fa