Центр экстренного реагирования AhnLab Security (ASEC) недавно обнаружил, что угрожающий агент Crysis ransomware также использует в атаках Venus ransomware. Crysis и Venus - оба основных типа программ-рансоматов, известных тем, что они нацелены на внешние службы удаленного рабочего стола. Фактические журналы из инфраструктуры AhnLab Smart Defense (ASD) также показывают, что атаки запускаются через RDP.
Venus Ransomware
Атакующие субъекты, использующие RDP (протокол удаленного рабочего стола) в качестве вектора атаки, обычно сканируют системы, в которых RDP активен и предоставляет доступ извне. Системы, обнаруженные в процессе сканирования, подвергаются атакам методом грубой силы или по словарю. Если пользователь имеет неподходящие учетные данные, то субъекты угроз могут легко завладеть этими учетными данными.
Угрожающие лица могут использовать полученные учетные данные для входа в систему через RDP, что позволит им получить контроль над системой и выполнить различные вредоносные действия. Угроза, установившая программу Venus ransomware, скорее всего, использовала RDP в качестве вектора атаки.
Объект угрозы устанавливает в зараженную систему различные виды вредоносных программ. Установленные инструменты - это сканеры и инструменты для кражи учетных данных, большинство из которых созданы компанией NirSoft. Таким образом, можно предположить, что сеть зараженной системы также может быть атакована.
- 1.exe_ Venus Ransomware
- image.exe_ Crysis Ransomware
- \mimik\x32\mimilib.exe
- \mimik\x32\mimilib.dll
- \mimik\x64\mimik.exe
- \mimik\x64\mimilib.dll Mimikatz
- webbrowserpassview.exe Web Browser Password Viewer - NirSoft
- mailpv.exe Mail PassView - NirSoft
- vncpassview.exe VNCPassView - NirSoft
- wirelesskeyview64.exe Просмотр беспроводных ключей - NirSoft
- bulletspassview64.exe BulletsPassView - NirSoft
- routerpassview.exe RouterPassView - NirSoft
- mspass.exe MessenPass (IM Password Recovery) - NirSoft
- rdpv.exe Remote Desktop PassView - NirSoft
- netpass64.exe Network Password Recovery - NirSoft
- ns64.exe Сканер сетевых ресурсов
После того как агент угрозы получает контроль над системой через RDP, вышеупомянутые инструменты используются для сканирования сети, чтобы проверить, является ли зараженная система частью определенной сети. Если система является частью определенной сети, то программа-вымогатель может провести внутреннюю разведку и собрать учетные данные для того, чтобы зашифровать и другие системы в сети. В этом процессе может быть использован Mimikatz. Используя собранную информацию об учетных записях, можно осуществить латеральное перемещение к другим системам в сети. В реальном случае атаки с использованием Crysis угрожающий агент использовал RDP для латерального перемещения в другие системы в сети.
В конечном итоге угрожающий агент запустил Crysis для шифрования системы, а после признания неудачи через несколько часов повторил атаку с помощью Venus.
Среди файлов, скопированных в папку Download актором угрозы, Venus ransomware имеет имя bild.exe_.
Перед началом процесса шифрования регистрируется значок расширения файла .venus. Поскольку расширение зашифрованных файлов изменяется на .venus, пользователи видят файлы со следующим значком.
Команда, используемая Venus для удаления теневых копий томов, выглядит следующим образом.
| 1 | > cmd.exe /C wbadmin delete catalog -quiet && vssadmin.exe delete shadows /all /quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE |
На этом этапе программа-вымогатель изменяет рабочий стол и отображает файл README. Файл содержит сообщение о том, что угрожающие лица похитили информацию из системы и зашифровали файлы, призывая пользователя выйти на связь в течение 48 часов.
Адрес электронной почты угрожающего субъекта: [email protected].
Indicators of Compromise
Emails
MD5
- 2a541cb2c47e26791bca8f7ef337fe38
- 3684fe7a1cfe5285f3f71d4ba84ffab2
- 3a302cd820b1535ccc6545542bf987d1
- 44bd492dfb54107ebfe063fcbfbddff5
- 4984b907639851dfa8409e60c838e885
- 51373c09f0cb65ab149b0423d85f057e
- 57445041f7a1e57da92e858fc3efeabe
- 597de376b1f80c06d501415dd973dcec
- 67b1a741e020284593a05bc4b1a3d218
- 786ce74458720ec55b824586d2e5666d
- 7f31636f9b74ab93a268f5a473066053
- 8d0a0f482090df08b986c7389c1401c2
- cc2d70a961bc6dce79168ae99ab30673
- d28f0cfae377553fcb85918c29f4889b
- df218168bf83d26386dfd4ece7aef2d0
- f627c30429d967082cdcf634aa735410
