QV Ransomware и DocSaStealer: Обзор двух новых угроз для корпоративных систем

information security

Исследователи в сфере кибербезопасности фиксируют появление сразу двух опасных программных угроз, ориентированных на операционную систему Windows. Речь идёт о новом семействе программ-вымогателей QV и о стилере информации DocSaStealer. Обе угрозы демонстрируют высокий технический уровень исполнения и нацелены на корпоративный сектор, что требует пристального внимания со стороны служб информационной безопасности.

Описание

Программа-вымогатель QV была обнаружена в результате мониторинга подпольных форумов. Эта вредоносная программа нацелена исключительно на Windows. После проникновения в систему QV шифрует файлы жертвы, добавляя к их именам расширение, которое включает контактный адрес злоумышленников, уникальный идентификатор жертвы и суффикс ".Qv". Технический анализ показывает, что для шифрования данных используется симметричный алгоритм AES-256 в режиме CBC, а сам ключ шифрования затем защищается асимметричным алгоритмом RSA-2048. Такой гибридный подход делает восстановление файлов без участия злоумышленников практически невозможным.

Помимо шифрования, QV проявляет высокую активность в системе для закрепления своего присутствия. Вредоносная программа создаёт новую службу Windows со случайным именем и настраивает задачу в планировщике, которая запускается при входе пользователя в систему. Особого внимания заслуживает тот факт, что в исходном коде QV заложена функциональность для атак на гипервизоры ESXi и шифрования виртуальных машин, хранящихся на подключённых хранилищах данных. Это прямо указывает на то, что разработчики QV целятся в корпоративные инфраструктуры, где активно используется виртуализация.

После завершения процесса шифрования программа создаёт текстовый файл с инструкцией. В ней утверждается, что система "не защищена", и операторы якобы могут восстановить файлы. В качестве демонстрации своих возможностей злоумышленники предлагают бесплатно расшифровать один файл. В записке также содержатся контакты для связи, предупреждение об опасности использования сторонних инструментов для разблокировки и уникальный идентификатор дешифратора.

QV использует множество техник, описанных в базе знаний MITRE ATT&CK. Помимо уже упомянутого закрепления и исполнения, программа активно скрывает свою деятельность. Она применяет руткиты, обфускацию и упаковку кода, маскировку (masquerading) под легитимные процессы, а также внедрение в другие процессы (process injection). Для сбора информации о системе QV выполняет обнаружение пользователей, процессов, файлов, а также подавляет механизмы восстановления системы. Вредоносная программа намеренно уничтожает теневые копии томов Windows, используя штатные утилиты vssadmin.exe и wmic.exe. Это лишает жертву возможности восстановить данные с помощью встроенных точек восстановления или локальных бэкапов.

Встроенные механизмы QV также включают функцию проверки среды выполнения. Программа способна определять, запущена ли она в изолированной среде (песочнице), на виртуальной машине или под наблюдением инструментов отладки. При обнаружении таких условий вредоносная программа может приостановить свою работу или изменить поведение, чтобы избежать анализа. Этот анализ исследователей выявил, что QV, как и многие современные вымогатели, использует гибридное шифрование, автоматизированные методы развёртывания и многоступенчатые сценарии атак.

Вторая угроза, стилер DocSaStealer, представляет собой сложную программу, предназначенную для кражи данных. Её ключевая особенность - сильный упор на скрытность и маскировку под легитимные процессы Windows. Вместо того чтобы сразу приступать к активным вредоносным действиям, DocSaStealer стремится незаметно закрепиться в системе, используя для этого штатные системные библиотеки и процессы.

Поведенческий анализ показывает, что стилер взаимодействует с критическими компонентами Windows. Он манипулирует процессами на системном уровне, использует технику перехвата потока выполнения (Hijack Execution Flow) и проводит тщательную разведку. DocSaStealer загружает множество легитимных библиотек, связанных с сетью, криптографией и управлением процессами. Такой подход позволяет слиться с фоновой активностью системы и снизить вероятность обнаружения.

После внедрения стилер начинает сбор данных о системе: обращается к реестру, перечисляет запущенные процессы, собирает информацию о конфигурации. У программы есть встроенные механизмы противодействия анализу, в частности, обнаружение песочниц и виртуальных машин. Если DocSaStealer подозревает, что работает под наблюдением, он либо завершает свою работу, либо скрывает ключевые функции. После успешного внедрения и сбора информации стилер устанавливает канал связи с командным сервером. Это позволяет операторам дистанционно управлять заражённой машиной, похищать собранные данные или загружать дополнительные модули.

Обе угрозы - QV и DocSaStealer - являются частью общей тревожной тенденции. Современные вредоносные программы всё чаще отказываются от грубой силы в пользу сложных многоступенчатых схем. Они используют легитимные инструменты системы, маскируются под обычную активность и применяют сильную криптографию. Модель "вымогатель как услуга" (RaaS) продолжает развиваться, предоставляя киберпреступникам инфраструктуру для масштабных атак. В будущем следует ожидать дальнейшего расширения платформенной поддержки, автоматизации атак и углубления интеграции с корпоративными средами, включая облачные ресурсы и системы сетевых хранилищ.

Для защиты от подобных атак организациям необходимо выстраивать многоуровневую оборону. Требуется внедрение современных систем защиты конечных точек и мониторинга сети, строгий контроль приложений и принцип нулевого доверия. Критически важно регулярно обучать сотрудников основам кибергигиены и поддерживать резервные копии, которые хранятся отдельно от основной сети, чтобы они не были зашифрованы или уничтожены в ходе атаки.

Индикаторы компрометации

IPv4

  • 120.25.235.212
  • 124.89.118.2
  • 124.89.89.153
  • 171.25.193.81
  • 194.48.199.121

Domains

  • constructor.name
  • dattolocal.net
  • remotewd.com
  • soundsgroovybox.com

SHA256

  • c92c158d7c37fea795114fa6491fe5f145ad2f8c08776b18ae79db811e8e36a3
  • eb03106fc4ffe1d6580fa7a18cde415991d1a3992ce1b5d4bdb25f4906d38e5d

YARA

Комментарии: 0