В последнее время специалисты по кибербезопасности компании Huntress обнаружили новый вариант ransomware, получивший название Crux. По заявлениям злоумышленников, этот вредоносный код является частью группы BlackByte, что подтверждается содержанием вымогательских записок (см. рисунок 1). На данный момент зафиксировано три инцидента с участием Crux. Зашифрованные файлы получают расширение .crux, а вымогательские записки следуют шаблону именования crux_readme_[случайное_число].txt. Во всех известных случаях злоумышленники использовали один и тот же email для связи: BlackBCruxSupport@onionmail.org.
Описание
Ключевые особенности Crux
Crux представляет собой ранее неизвестный вариант ransomware, который, по утверждениям злоумышленников, связан с BlackByte. По данным Huntress, один из способов первоначального проникновения в систему - использование уязвимостей в Remote Desktop Protocol (RDP). После запуска вредоносного файла наблюдается четкая цепочка процессов: сначала запускается неподписанный исполняемый файл ransomware, затем svchost.exe, cmd.exe и bcdedit.exe, после чего начинается шифрование данных.
Детали атак
В первых двух инцидентах специалисты не смогли точно установить, каким образом злоумышленники получали доступ к системам. Однако в третьем случае было подтверждено, что атака началась с использования валидных учетных данных через RDP. Исполняемые файлы ransomware запускались из различных директорий (например, временные папки, C:\Windows) и каждый раз имели разные имена. Хэши файлов также отличались для каждой атакованной организации.
Перед началом шифрования ransomware запускает легитимный процесс svchost.exe, но с необычными аргументами командной строки (-a или -s), что может указывать на использование техник инъекции кода. Затем через svchost.exe запускается cmd.exe, который выполняет команду bcdedit.exe - инструмент для изменения конфигурации загрузки Windows. Эта команда отключает функции восстановления системы, что затрудняет или делает невозможным возврат к предыдущему состоянию без участия злоумышленников.
Разбор конкретных инцидентов
Инцидент 1
4 июля было зафиксировано заражение семи компьютеров одной организации. Вредоносная активность варьировалась: на некоторых машинах злоумышленники отключали восстановление через bcdedit.exe, на других - копировали данные реестра, устанавливали драйверы и использовали Rclone для эксфильтрации данных. В одном случае Microsoft Defender заблокировал подозрительную активность (Behavior:Win32/RemoteRegDump.A), но до завершения расследования компьютер был отключен. На другом устройстве был обнаружен запуск rclone.exe для копирования данных на сторонний сервер, что явно указывает на утечку информации.
Инцидент 2
В тот же день была атакована другая организация. Здесь злоумышленники создали новые учетные записи и использовали команды, указывающие на движение по сети (латеральное перемещение), перед тем как отключить восстановление системы и развернуть ransomware. Специалисты Huntress обнаружили связь между этим инцидентом и предыдущими благодаря анализу логов ELK, в которых svchost.exe запускался с подозрительными аргументами.
Инцидент 3
13 июля произошла третья атака, в ходе которой злоумышленники продемонстрировали хорошее знание инфраструктуры жертвы. Ransomware был запущен всего через семь минут после тестового входа в систему с использованием валидных учетных данных. Через 90 секунд после интерактивного входа началось шифрование файлов. Анализ сессий показал, что злоумышленники использовали аккаунт технической поддержки, а затем перешли на учетную запись администратора.
Связь с BlackByte и рекомендации по защите
Хотя в вымогательских записках утверждается, что Crux является частью BlackByte, Huntress пока не подтвердила эту информацию. BlackByte - известная Ransomware-as-a-Service (RaaS) группа, действующая с 2021 года.
Учитывая, что в одном из случаев злоумышленники использовали RDP для проникновения, Huntress в очередной раз призывает компании усилить защиту удаленного доступа. Также важно отслеживать подозрительную активность, связанную с процессами svchost.exe и bcdedit.exe, что поможет вовремя обнаружить атаку. Внедрение EDR-решений и постоянный мониторинг активности пользователей могут значительно снизить риски.
Вывод
Появление нового ransomware Crux подтверждает, что угрозы кибербезопасности продолжают эволюционировать. Компаниям необходимо регулярно обновлять системы, внедрять многофакторную аутентификацию и обучать сотрудников основам цифровой гигиены, чтобы минимизировать вероятность успешных атак.
Индикаторы компрометации
Emails
- BlackBCruxSupport@onionmail.org
SHA256
- 667b7220f5df1b31dd2dd3d4aa1fedb4fdd2e8e5926cdacd744da7a7c6635932
- b45e6cce412d9968e7ea67466076e7bd2d533598a9dc182699c84a0b1f72e3e4
- c96d5a279c660bfa9b70b7b2d78de951daff80fe6ad5617882587cb8e971e88b
