За последний год в ландшафте киберугроз чётко обозначился тревожный тренд: эволюция классических программ-вымогателей (ransomware) в сторону тактики двойного шантажа. Вместо того чтобы просто блокировать доступ к файлам, злоумышленники теперь активно похищают конфиденциальные данные до их шифрования. Затем они угрожают опубликовать украденную информацию в случае отказа от выплаты выкупа. Этот подход позволяет обойти одну из ключевых мер защиты - регулярное резервное копирование. Даже имея актуальные бэкапы, организация не может считать себя в безопасности, поскольку рискует стать жертвой утечки чувствительных данных. Одним из самых активных семейств вредоносного ПО, перешедших на эту модель, в последние месяцы стала программа-вымогатель Nefilim.
Описание
Происхождение и цели Nefilim
Nefilim появилась на сцене в марте 2020 года, когда операторы другого известного вредоноса - Nemty - отказались от модели ransomware-as-a-service (RaaS, «вымогательство как услуга»), чтобы сконцентрировать усилия на более целевых атаках. Примечательно, что автор Nemty, по всей видимости, поделился исходным кодом своего творения, что привело к появлению нового семейства. Эксперты, включая Витали Кремза и Майкла Жиля из сервиса ID Ransomware, отмечают, что Nefilim основана на коде Nemty версии 2.5 и унаследовала от него ключевые возможности, в частности, функцию латерального перемещения внутри корпоративных сетей.
Целями Nefilim становятся в первую очередь организации, использующие уязвимое программное обеспечение для удалённого доступа. В фокусе атакующих - давно известные и уже закрытые производителем уязвимости, такие как CVE-2019-11634 и CVE-2019-19781 в шлюзах Citrix, информация о которых появилась в декабре 2019 года, а патчи выпущены в январе 2020-го. Это типичная тактика: злоумышленники эксплуатируют уязвимости, для которых уже существуют обновления безопасности, но которые по тем или иным причинам не были установлены в инфраструктуре жертвы. Проникнув через неисправленный шлюз, хакеры похищают данные и лишь затем разворачивают основную нагрузку - шифровальщик.
Технический анализ жизненного цикла атаки
Инцидент с участием Nefilim развивается по отработанному сценарию, включающему несколько этапов. Начальная точка компрометации - это зачастую неправильно сконфигурированный или подвергнутый брут-форсу (подбору паролей) сервис удалённого рабочего стола (RDP, Remote Desktop Protocol). Альтернативный путь - эксплуатация упомянутых уязвимостей в Citrix. Получив первоначальный доступ, злоумышленник разворачивает на системе жертвы арсенал вспомогательных инструментов: утилиты для отключения антивирусного ПО, средства для сбора учётных данных и выгрузки данных.
Этап латерального перемещения критически важен для успеха всей операции. Используя такие широко распространённые легитимные утилиты, как PsExec для удалённого выполнения команд, а также специализированный софт для кражи паролей вроде Mimikatz, LaZagne или NetPass от NirSoft, атакующие методично движутся по сети. Их цель - найти наиболее ценные активы: файловые серверы, базы данных, системы управления предприятием (ERP). Перед запуском шифрования происходит масштабная эксфильтрация (вывоз) данных. Для этого данные копируются на скомпрометированную машину, архивируются с помощью предустановленного бинарного файла 7zip и загружаются на внешние ресурсы, например, через клиент облачного хранилища MegaSync.
Сам процесс шифрования использует гибридную схему. Каждый файл шифруется с помощью алгоритма AES-128, после чего к нему добавляется расширение .NEFILIM. Ключ AES, в свою очередь, шифруется с использованием RSA-2048, причём открытый RSA-ключ встроен в исполняемый файл вредоноса. Для противодействия анализу Nefilim применяет ряд антиотладочных техник, например, проверяет наличие отладчика с помощью функции IsDebuggerPresent и отслеживает временные задержки выполнения своего кода. После завершения работы программа самоуничтожается, запуская команду удаления через ShellExecute API.
Реальные последствия и давление на жертв
Яркий пример разрушительности атак Nefilim - инцидент с австралийской транспортно-логистической компанией Toll Group в мае 2020 года. Примечательно, что это была уже вторая серьёзная атака на компанию за короткий срок: двумя месяцами ранее она пострадала от другого вымогателя - Netwalker. В обоих случаях Toll Group отказалась платить выкуп. В ответ операторы Nefilim выложили в даркнет конфиденциальные данные компании, включая коммерческие договоры и персональную информацию сотрудников, публично заявив о недостаточных мерах безопасности со стороны жертвы. Этот случай наглядно демонстрирует новую реальность: отказ от выплаты выкупа больше не гарантирует закрытия инцидента, а лишь переводит его в плоскость репутационного и регуляторного риска из-за утечки данных.
Рекомендации по защите и митигации
Для противодействия таким комплексным угрозам, как Nefilim, необходим многослойный подход, выходящий за рамки простого резервного копирования.
- Укрепление периметра удалённого доступа. Критически важно отключить RDP, если он не используется в принципе. Если же его использование необходимо, следует изменить стандартный порт (3389), ограничить доступ по IP-адресам и обязательно использовать VPN (виртуальную частную сеть) с двухфакторной аутентификацией (2FA) для организации защищённого подключения. Своевременное обновление и патчинг всех систем, особенно шлюзов удалённого доступа вроде Citrix, - обязательное условие.
- Принцип наименьших привилегий и сегментация. Пользователи и сервисы должны работать с минимально необходимыми для их задач правами. Широкое использование учётных записей с правами администратора значительно упрощает злоумышленникам задачу латерального перемещения. Кроме того, важные серверы и сегменты сети должны быть изолированы.
- Мониторинг аномальной активности. Поскольку атака развивается постепенно, ключевое значение имеет обнаружение не характерных для сети действий. Следует настроить системы мониторинга (SIEM) на отслеживание признаков латерального перемещения (например, аномальное использование PsExec или WMI) и эксфильтрации данных (необычно большие исходящие соединения, использование нестандартных портов или облачных хранилищ).
- Стратегия резервного копирования с учётом новых угроз. Резервные копии по-прежнему жизненно необходимы для восстановления после шифрования, но теперь их нужно защищать иначе. Необходимо применять схему 3-2-1 (три копии данных, на двух разных типах носителей, одна из которых хранится автономно и вне площадки). Автономные (offline) копии, недоступные из основной сети в момент атаки, - единственный гарантированный способ восстановления данных.
Появление и активное распространение таких программ-вымогателей, как Nefilim, сигнализирует о новом этапе в кибервойне. Угроза превратилась из простого «замка на файлах» в инструмент комплексного шантажа, сочетающий финансовый ущерб с репутационными рисками. В этой ситуации классическая защита уже недостаточна, и организациям требуется пересматривать свои стратегии безопасности, делая акцент на предотвращении утечек данных, сегментации сетей и продвинутом мониторинге.
Индикаторы компрометации
SHA256
- 08c7dfde13ade4b13350ae290616d7c2f4a87cbeac9a3886e90a175ee40fb641
- 3080b45bab3f804a297ec6d8f407ae762782fa092164f8ed4e106b1ee7e24953
- 353ee5805bc5c7a98fb5d522b15743055484dc47144535628d102a4098532cd5
- 35a0bced28fd345f3ebfb37b6f9a20cc3ab36ab168e079498f3adb25b41e156f
- 3bac058dbea51f52ce154fed0325fd835f35c1cd521462ce048b41c9b099e1e5
- 52e25bdd600695cfed0d4ee3aca4f121bfebf0de889593e6ba06282845cf39ea
- 5ab834f599c6ad35fcd0a168d93c52c399c6de7d1c20f33e25cb1fdb25aec9c6
- 7a73032ece59af3316c4a64490344ee111e4cb06aaf00b4a96c10adfdd655599
- 7de8ca88e240fb905fc2e8fd5db6c5af82d8e21556f0ae36d055f623128c3377
- 8be1c54a1a4d07c84b7454e789a26f04a30ca09933b41475423167e232abea2b
- b227fa0485e34511627a8a4a7d3f1abb6231517be62d022916273b7a51b80a17
- b8066b7ec376bc5928d78693d236dbf47414571df05f818a43fb5f52136e8f2e
- D4492a9eb36f87a9b3156b59052ebaf10e264d5d1ce4c015a6b0d205614e58e3
- fcc2921020690a58c60eba35df885e575669e9803212f7791d7e1956f9bf8020
