В мире информационной безопасности наблюдается очередное ответвление печально известной программы-вымогателя Babuk. Новый вариант, получивший название EndPoint (ранее был известен как Midnight), ориентирован не только на классические Windows-системы, но и на гипервизоры ESXi (платформа виртуализации от VMware), а также на сетевые хранилища (NAS). Аналитики обращают внимание на системный подход злоумышленников: они применяют двойное вымогательство, сочетая шифрование файлов с угрозой публикации похищенных данных.
Описание
После того как исходный код Babuk оказался в открытом доступе, на его основе возникло множество производных вредоносных программ. EndPoint - один из таких образцов. Заражённым файлам присваивается расширение .endpoint, а в записке с требованием выкупа указан идентификатор для связи через мессенджер uTox. Эксперты отмечают, что ранее в подобных записках фигурировал адрес schipkealfred@gmail.com, который использовался для выдачи себя за директора Института Восточной Азии. С 2024 года этот почтовый ящик связывают с угрозами, исходящими от северокорейских хакеров.
Специалисты южнокорейской компании AhnLab опубликовали технический анализ этого варианта и выделили несколько ключевых особенностей. Прежде всего, EndPoint использует аргументы командной строки, чтобы гибко управлять зоной шифрования. Параметр -paths= шифрует только конкретные пути, /n - только общие сетевые папки, а /e полностью отключает добавление расширения .endpoint. В каталоге выполнения программы создаётся файл debug.endpoint, куда записываются сведения об ошибках при работе функций FindFirstFileW и MoveFileExW.
Перед началом шифрования вредоносная программа останавливает целый ряд процессов: базы данных, офисные приложения, почтовые клиенты. Затем она удаляет теневые копии томов с помощью команды vssadmin.exe delete shadows /all /quiet. Кроме того, принудительно завершаются службы резервного копирования и защиты - Veeam, Sophos, Acronis, а также служба теневого копирования томов (vss) и Sql.
Из процесса шифрования исключены системные каталоги (Windows, Program Files, AppData), загрузочные файлы (bootmgr, ntuser.dat) и ряд расширений (.exe, .dll, .msi, .endpoint). EndPoint создаёт столько потоков, сколько ядер у процессора, и использует мьютекс с именем Mutexisfunnylocal, чтобы избежать повторного запуска на одном устройстве.
Сам алгоритм шифрования построен на ChaCha20 (симметричный поточный шифр). Сеансовый ключ защищается с помощью собственной реализации асимметричного шифрования RSA (асимметричный алгоритм, использующий пару открытый/закрытый ключ). В зависимости от размера файла применяется частичное шифрование: вместо полной обработки документа шифруется только его часть, что позволяет ускорить атаку и снизить нагрузку на систему злоумышленника. После завершения процедуры сеансовый ключ и хэш SHA-256 (криптографическая хэш-функция) помещаются в конец файла - так называемый футер.
Записка с требованием выкупа не меняет обои рабочего стола. В каждой зашифрованной директории появляется текстовый файл How To Restore Your Files.txt. В нём сообщается, что данные были похищены и зашифрованы, а восстановление возможно только после перевода средств. Для связи предлагается использовать мессенджер Session. Злоумышленники обещают бесплатно расшифровать три файла в качестве подтверждения своих возможностей. При задержке с оплатой сумма выкупа увеличивается.
В итоге EndPoint представляет собой хорошо продуманную программу-вымогатель. Она сочетает в себе эффективность и скрытность. Частичное шифрование ускоряет атаку, а собственный RSA-ключ делает восстановление без участия злоумышленников практически невозможным. Использование мьютексов и гибких аргументов командной строки позволяет оператору точно настраивать поведение вредоносной программы.
Для защиты от подобных угроз критически важно изолировать резервные копии от основной сети, регулярно проводить тренировки по восстановлению данных и строго контролировать доступ к хранилищам. Своевременное обновление операционных систем и всех программ, установка последних версий антивирусных решений, осторожность при переходе по подозрительным ссылкам, а также применение сложных паролей и двухфакторной аутентификации (2FA) - эти меры позволяют значительно снизить риск успешной атаки.
Индикаторы компрометации
MD5
- 34be5e70f1260da87096b80dc7b026ac
- b77ad606ba04d2d0077130679a257c96
- c00cc937e064946ee42776cfe80754d7
- e82bcf417f51acc6b2d8a94ceabd5e36