Группа хакеров Underground, впервые обнаруженная в июле 2023 года, возобновила активность в мае 2024 года, запустив масштабную кампанию ransomware-атак против компаний из различных стран и отраслей. Среди целей значатся организации из ОАЭ, США, Франции, Испании, Австралии, Германии, Словакии, Тайваня, Сингапура, Канады и Южной Кореи. Пострадавший бизнес охватывает такие сферы, как строительство, дизайн интерьеров, производство и IT, а годовой доход компаний варьируется от 20 до 650 миллионов долларов. Это свидетельствует об отсутствии избирательности у злоумышленников в выборе жертв.
Описание
Подход Underground отличается высокой степенью профессионализма. Группа не занимается массовым распространением вредоносного ПО, а проводит целевые атаки с предварительной разведкой, infiltrцией систем, сбором информации и последующей адаптацией ransomware под конкретную жертву. Это указывает на продвинутый уровень угрозы, требующий серьезных мер защиты.
Технический анализ вредоносного ПО выявил сложную схему шифрования, сочетающую алгоритм генерации случайных чисел (RNG), симметричное шифрование AES и асимметричное шифрование RSA. Каждый файл шифруется с уникальным AES-ключом, а информация для его расшифровки добавляется в конец файла и защищается RSA-ключом, что делает восстановление без участия злоумышленников практически невозможным. Примечательно, что после шифрования не происходит сетевых коммуникаций, что усложняет отслеживание и анализ.
Файлы классифицируются по размеру - мелкие, обычные и крупные - и шифруются с разной интенсивностью. Мелкие файлы обрабатываются полностью, а для крупных применяется полосовой метод (striping), при котором шифруются начало, конец и промежуточные segmentы с определенными интервалами. Это позволяет снизить нагрузку на систему и ускорить процесс.
Перед началом шифрования ransomware выполняет ряд подготовительных действий: удаляет теневые копии данных через vssadmin, ограничивает удаленные подключения через редактирование реестра и останавливает службы, которые могут помешать процессу, такие как MSSQLSERVER. Исключаются из шифрования системные папки (например, C:\Windows\) и файлы с критическими расширениями (.exe, .dll, .bat и др.), чтобы избежать полного вывода системы из строя.
Для шифрования используются API BCrypt из библиотеки bcrypt.dll. Генерируется случайное число длиной 0x30 байт: первые 0x20 байт становятся AES-ключом, остальные - вектором инициализации (IV). Данные файла считываются в память, шифруются с помощью BCryptEncrypt, а затем к ним добавляется метаданные, включая размер исходного файла и флаги, определяющие параметры шифрования для разных категорий файлов.
После завершения шифрования ransomware создает и запускает скрипт _eraser.bat, который удаляет все журналы событий Windows с помощью утилиты wevtutil, что значительно затрудняет расследование инцидента.
В ransom-ноте группа не только требует выкуп за расшифровку, но и предлагает «дополнительные услуги»: диагностику уязвимостей, рекомендации по безопасности и поддержку восстановления данных. Для переговоров предоставляется URL Tor-сайта и учетные данные. Также в note содержится информация об IP-адресе жертвы и похищенных данных, что подтверждает предварительный доступ злоумышленников к системе до запуска ransomware.
Индикаторы компрометации
MD5
- 76a3ee4f0447ad47767d2b6f808b7fc6
- bbbf99de707dd28c938668d34c2e1b26
