Стирание границ: обнаружена связь одного вторжения с тремя крупными группами вымогателей

Новый инцидент кибербезопасности демонстрирует тревожную тенденцию: злоумышленники всё чаще действуют как аффилированные лица, одновременно работая на несколько групп, занимающихся распространением программ-вымогателей. Анализ недавней многоступенчатой атаки выявил чёткие связи с тремя известными операциями: Play, RansomHub и DragonForce.

Описание

Вторжение началось в сентябре 2024 года, когда пользователь загрузил и запустил вредоносный файл, маскировавшийся под легитимное приложение EarthTime от DeskSoft. Вместо программы для отслеживания часовых поясов жертва получила трояна SectopRAT, который открыл канал управления (C2) для злоумышленников. Используя уязвимость в логике установщика программ DeskSoft, угроза смогла подменить исполняемый файл на вредоносный, что является классическим примером социальной инженерии.

После получения первоначального доступа злоумышленники быстро укрепили свои позиции. Они создали локальную учётную запись с привилегиями администратора, развернули прокси-туннель SystemBC для скрытного доступа и начали активную разведку сети. В их арсенале были такие инструменты, как AdFind и SharpHound для изучения Active Directory, сетевой сканер SoftPerfect NetScan и специализированное ПО Grixba (GT_NET.exe и GRB_NET.exe), тесно связанное с группировкой Play.

Перемещение по сети осуществлялось преимущественно через RDP-соединения, а для выполнения команд на удалённых хостах использовался инструмент wmiexec из набора Impacket. Злоумышленники побывали на контроллерах домена, серверах резервного копирования и файловых хранилищах, демонстрируя глубокое понимание инфраструктуры. На шестой день атаки был развёрнут многофункциональный бэкдор Betruger, который эксперты связывают с операцией RansomHub. Этот инструмент обладает широкими возможностями, включая сбор учётных данных, снятие скриншотов и перехват нажатий клавиш.

Кульминацией атаки стал этап сбора и эксфильтрации данных. Используя WinRAR, злоумышленники запаковали целевые файловые ресурсы, содержащие конфиденциальные бизнес-документы, в том числе страховой полис, покрывающий кибер-инциденты. Архивированные данные были переданы с помощью WinSCP на FTP-сервер, размещённый у американского облачного провайдера. Критической ошибкой злоумышленников стало использование незашифрованного FTP-соединения, что позволило аналитикам перехватить их учётные данные в открытом виде.

Хотя развёртывание самого программ-вымогателей не было зафиксировано до вытеснения угрозы из сети, собранные улики не оставляют сомнений в её конечных целях. Об этом свидетельствует обнаружение инструмента Grixba, прочно ассоциирующегося с группой Play, использование бэкдора Betruger, характерного для RansomHub, а также оплошность в виде оставленного файла с выводом сетевого сканирования, содержащего данные компании, ранее скомпрометированной группировкой DragonForce.

Данный случай наглядно иллюстрирует, как современные киберпреступники стирают границы между отдельными группами. Аффилированные лица свободно оперируют инструментарием и тактиками различных ransomware-операций, что значительно усложняет их атрибуцию и противодействие им. Для защищающихся сторон это означает необходимость перехода к более комплексным и проактивным мерам безопасности, выходящим за рамки защиты от какой-то одной известной угрозы. Специалисты по кибербезопасности подчёркивают, что подобные перекрёстные атаки требуют столь же комплексного подхода к мониторингу, анализу угроз и реагированию на инциденты.