Уязвимость резервного ПО: злоумышленники используют Restic для скрытой подготовки к вымогательству

Специалисты SOC Huntress регулярно фиксируют разнообразные методы, которые применяют угрозы для сбора и выгрузки конфиденциальных данных из скомпрометированных окружений. Подготовка данных часто происходит через установку и использование приложений вроде WinZip, 7Zip или даже встроенной утилиты Windows tar.exe. Хотя такая подготовка обычно считается предварительным действием перед выгрузкой, ряд факторов может затруднить её прямое обнаружение. К ним относятся ограниченное покрытие агентами мониторинга или использование злоумышленниками методов выгрузки, не создающих новых процессов. Однако аналитики Huntress наблюдали выгрузку данных с помощью нативной утилиты Windows finger.exe, а также через инструменты для резервного копирования, такие как restic, BackBlaze и s5cmd.

Наглядной иллюстрацией этой тактики стал инцидент 25 февраля 2026 года, когда в инфраструктуре клиента Huntress было развёрнуто программа-вымогатель под названием INC. Детальное расследование показало, что злоумышленник получил доступ к конечной точке ещё 24 февраля. В ходе атаки он смонтировал сетевой ресурс на конечной точке как диск F:\, использовал служебную программу PSEXEC от Microsoft для повышения привилегий, а затем создал запланированную задачу «Recovery Diagnostics» для выполнения PowerShell-скрипта. После этого была запущена команда PowerShell в кодировке Base64, которая при декодировании раскрыла ключевые детали атаки.

В команде были заданы переменные окружения для доступа к облачному хранилищу AWS, включая идентификатор ключа доступа и секретный ключ, а также указан репозиторий Restic в сервисе Wasabi. Примечательно, что пароль для этого репозитория, заданный в переменной RESTIC_PASSWORD, не был скрыт и имел значение 'password'. Третьим ключевым элементом стало имя исполняемого файла "winupdate.exe", который на деле оказался переименованной копией легальной утилиты резервного копирования "restic.exe". Вскоре была выполнена вторая команда, которая инициировала непосредственно процесс резервного копирования (backup) списка файлов из "new.txt". Хотя сам файл со списком целей получить не удалось, характер команды указывает на то, что злоумышленник уже провёл разведку инфраструктуры и знал, какие данные представляют ценность.

Использование Base64 для маскировки команд - распространённая практика, однако она создаёт сложности для обнаружения, поскольку многие легитимные инструменты удалённого управления (RMM) и безопасности также применяют кодирование команд PowerShell. Эти команды фиксируются в журналах Windows с идентификатором события 600, что затрудняет их выделение на фоне нормальной активности. На следующий день, 25 февраля, злоумышленник, закрепившись в системе, перешёл к активным действиям по нейтрализации защиты. Сначала был запущен исполняемый файл "edr.exe", а затем - утилита деинсталляции агента безопасности VIPRE Business Agent. В журнале событий Windows появились соответствующие записи об отключении этого продукта безопасности.

Следующим шагом стало отключение встроенного защитника Windows Defender путём деактивации защиты в реальном времени, что также было зафиксировано в системных логах. После того как среда была «очищена» от средств безопасности, был запущен исполняемый файл программы-вымогателя INC с параметрами, скрывающими его работу. Помимо появления файлов с требованиями выкупа, в системе началась массовая генерация событий, связанных с работой RestartManager API, который используется некоторыми семействами программ-вымогателей, включая Akira, для шифрования заблокированных файлов. Полноценное расследование вектора первоначального проникновения в этом случае оказалось невозможным из-за неполного покрытия инфраструктуры агентами мониторинга Huntress и отсутствия у клиента системы класса SIEM (Security Information and Event Management, система управления событиями и информацией безопасности), которая могла бы помочь выявить подозрительную активность на ранних этапах.

Однако наиболее тревожным открытием стала связь этого инцидента с более ранней атакой, обнаруженной 9 февраля. В том случае злоумышленники использовали утилиту Restic практически идентичным образом: те же Base64-команды PowerShell для настройки и те же переменные окружения AWS, включая идентичные ключи доступа и схожую структуру целевого репозитория. Это явно указывает на одну и ту же группу или на использование одних и тех же инструментов и инфраструктуры. В атаке от 9 февраля злоумышленники также применяли утилиту HRSword для отключения агентов безопасности Acronis, что демонстрирует их отработанную тактику нейтрализации защиты перед выполнением финальной полезной нагрузки. Тогда своевременное реагирование специалистов Huntress предотвратило развёртывание программ-вымогателей на том этапе, но, как показал февральский инцидент, группа продолжила свою деятельность.

Данный кейс служит важным напоминанием для специалистов по безопасности. Во-первых, необходимо обеспечить максимально полное покрытие инфраструктуры агентами мониторинга EDR (обнаружение и реагирование на конечных точках) и развёртывание SIEM-решений для корреляции событий. Во-вторых, требуется тщательный мониторинг активности легитимных системных и сторонних утилит, особенно тех, что связаны с архивацией, резервным копированием и сетевыми передачами данных. Появление в системе неожиданных копий программ вроде "restic.exe" под именами системных файлов должно мгновенно вызывать подозрение. В-третьих, журналы PowerShell, особенно события с ID 600, содержащие длинные строки Base64, требуют пристального анализа, несмотря на сложность отделения злонамеренных команд от легальных. Регулярный аудит запланированных задач и служб, созданных от имени системы, а также мониторинг попыток отключения защитных механизмов, являются критически важными мерами для прерывания цепочки атаки до того, как будет нанесён финальный удар.

SHA256

• 1d15b57db62c079fc6274f8ea02ce7ec3d6b158834b142f5345db14f16134f0d
• e034a4c00f168134900bfe235ff2f78daf8bfcfa8b594cd2dd563d43f5de1b13