Новое семейство программ-вымогателей BQTLock: целевые атаки и гибридное шифрование

Главная особенность BQTLock - нацеленность на избирательные вторжения, а не на массовое заражение. Злоумышленники, использующие этот инструмент, задолго до этапа шифрования выполняют боковое перемещение по сети и кражу данных. Вредоносная программа встраивается в легитимные процессы Windows, что помогает избежать раннего обнаружения и затягивает момент, когда защитники видят её активность. BQTLock также пытается повысить свои привилегии и незаметно подготовить почву для более серьёзного урона.

Как именно ведёт себя BQTLock после успешного запуска на заражённой системе? При выполнении программа создаёт запланированную задачу, которая запускается при входе пользователя с наивысшими правами. Это гарантирует, что вредоносный код будет активироваться при каждом новом сеансе. Далее создаётся учётная запись BQTLockAdmin - явный признак механизма закрепления и эскалации привилегий. Затем в каталоге C:\Windows\Temp появляется файл с паролями (passwords.txt или bqt_passwords.txt), что говорит о сборе учётных данных.

Следующий шаг - уничтожение возможности восстановления. BQTLock выполняет команду vssadmin.exe delete shadows /all /quiet, удаляя теневые копии томов. После этого изменяются параметры загрузчика: bcdedit /set {default} bootstatuspolicy ignoreallfailures и bcdedit /set {default} recoveryenabled no. Первая команда заставляет систему игнорировать ошибки загрузки, вторая отключает среду восстановления Windows. Жертва лишается стандартных способов отката.

Наконец, на заражённом устройстве появляются файлы с требованиями выкупа: READ_ME_NOW_*.txt, README_pay2_DECRYPT.txt или README_TO_DECRYPT.txt. Они размещаются во многих каталогах, чтобы пользователь гарантированно их заметил. После завершения шифрования BQTLock запускает команду самоудаления: timeout /t 3 /nobreak > NUL & del /f /q ...\update.exe & exit. Таким образом вредоносный исполняемый файл стирается, усложняя криминалистический анализ.

Для противодействия этой угрозе команда разработчиков открытой платформы Wazuh в своём блоге подробно описала методы обнаружения и реагирования. Инфраструктура демонстрации включала готовую виртуальную машину Wazuh OVA версии 4.14.4 и Windows 11 с установленным агентом. Все журналы обогащались данными от Sysmon - утилиты Microsoft для расширенного мониторинга событий.

На стороне сервера Wazuh были созданы специальные правила корреляции. Например, правило с идентификатором 100301 срабатывает при создании учётной записи BQTLockAdmin, 100302 - при появлении файла с паролями в Temp, 100303 - при удалении теневых копий, 100304 и 100305 - при изменении параметров загрузки и отключении восстановления. Отдельные правила фиксируют создание записей с требованием выкупа (100306), появление файлов с расширением .BQTLOCK (100307), подозрительные запланированные задачи (100308) и попытки самоудаления (100309). Каждое правило соотнесено с техниками из базы MITRE ATT&CK.

Дополнительно применяется метод CDB-списков - базы данных в формате "ключ:значение", где ключами выступают хеши известных образцов BQTLock. Когда модуль контроля целостности файлов (FIM) фиксирует создание или изменение файла, агент сравнивает его SHA-256 с записями в CDB. При совпадении генерируется оповещение высокого уровня (100121). Затем в дело вступает модуль активного реагирования: на заражённой конечной точке выполняется скрипт, который удаляет вредоносный файл. Успешное удаление порождает дополнительное событие (100122), а ошибка - событие 100123.

Таким образом, комбинация поведенческого анализа и сигнатурного позволяет своевременно выявлять BQTLock даже на ранних стадиях, до того как программа зашифрует данные. Автоматическое реагирование даёт возможность быстро изолировать угрозу, не дожидаясь действий администратора.

Учитывая, что BQTLock распространяется по модели RaaS, количество атак с его использованием, скорее всего, будет расти. Компаниям и организациям стоит обратить внимание на настройку мониторинга событий, использование Sysmon и внедрение открытых платформ для корреляции событий. Регулярное обновление списков индикаторов компрометации и правил обнаружения - ключ к тому, чтобы не пропустить новый штамм. Ситуация в очередной раз подтверждает: целевые атаки требуют комплексного подхода, где недостаточно одного антивируса, а нужна многоуровневая защита с возможностью быстрой реакции.

SHA256

• 324eabc27a25f524c94bb62573986b3335ab5181ddc6825d959d16aaaccdc7aa
• 3857744a651da4e431083180798041a5e888b09334a1a04c2c047216f471b0f6
• 9600db537e27db88ed2eca3be0ffab35cdb22a86a6dbb048d8deaf8f56944822
• b211537ea626fae4ad2ef5ee2652633dc68aaf20da6eb953a44f266c4106b367