Призрачная угроза: как открытый исходный код помогает хакерам запускать атаки вымогателей

Исследование показало, что вредоносная программа Yurei практически без изменений основана на открытом проекте Prince-Ransomware, написанном на языке Go. Это демонстрирует, как доступность открытого исходного кода значительно снижает порог входа для киберпреступников, позволяя даже малоопытным злоумышленникам запускать сложные атаки. Go продолжает оставаться популярным выбором для разработки вредоносных программ благодаря простоте использования, возможности кроссплатформенной компиляции и сложностям с детектированием для некоторых антивирусных решений.

Yurei допускает критическую ошибку: не удаляет теневые копии (Shadow Copies), что теоретически позволяет жертвам восстановить данные без уплаты выкупа. Однако группа делает основную ставку на шантаж утечкой информации. Как заявлено в их блоге, главным стимулом для жертв является страх перед последствиями обнародования корпоративных данных. Это особенно актуально для sectors, связанных с критической инфраструктурой, таких как пищевая промышленность, где утечки могут повлиять на цепочки поставок и безопасность.

Технический анализ выявил минимальные модификации исходного кода Prince-Ransomware. Злоумышленники добавили использование горутин (goroutines) для параллельного шифрования дисков и функцию мониторинга новых сетевых ресурсов. При этом они не стали удалять символы из бинарного файла, что упростило анализ и подтвердило происхождение кода. Интересно, что функция смены обоев рабочего стола, заимствованная из исходного проекта, содержит ошибку - отсутствует URL-адрес для загрузки изображения, из-за чего фон становится чёрным.

Расследование также выявило возможную связь группы с Марокко. Все образцы Yurei в VirusTotal были первоначально загружены из этой страны, а в HTML-коде их onion-сайта обнаружен комментарий на арабском языке. Кроме того, пути компиляции указывают на возможную связь с другим вымогателем - SatanLockv2, образцы которого также ранее загружались из Марокко и основаны на Prince-Ransomware.

Yurei наглядно демонстрирует, как открытые исходные коды вредоносных программ позволяют даже начинающим преступникам быстро запускать масштабные атаки. Хотя наследование исходного кода принесло и недостатки - например, невозможность удаления теневых копий, - это не мешает группе вести операции, так как основной упор делается на угрозу утечки данных. Для защитников подобные случаи становятся возможностью лучше изучить и противостоять таким угрозам, однако уже сейчас ясно: низкий уровень технической подготовки злоумышленников не всегда означает их неудачу.

Onion Domains

• fewcriet5rhoy66k6c4cyvb2pqrblxtx4mekj3s5l4jjt4t4kn4vheyd.onion

SHA256

• 0303f89829763e734b1f9d4f46671e59bfaa1be5d8ec84d35a203efbfcb9bb15
• 10700ee5caad40e74809921e11b7e3f2330521266c822ca4d21e14b22ef08e1d
• 1ea37e077e6b2463b8440065d5110377e2b4b4283ce9849ac5efad6d664a8e9e
• 49c720758b8a87e42829ffb38a0d7fe2a8c36dc3007abfabbea76155185d2902
• 4f88d3977a24fb160fc3ba69821287a197ae9b04493d705dc2fe939442ba6461
• 89a54d3a38d2364784368a40ab228403f1f1c1926892fe8355aa29d00eb36819
• afa927ca549aaba66867f21fc4a5d653884c349f8736ecc5be3620577cf9981f
• d2539173bdc81503bf1b842a21d9599948e957cadc76a283a52f5849323d8e04
• f5e122b60390bdcc1a17a24cce0cbca68475ad5abee6b211b5be2dea966c2634