Главная страница » IOC
0
3 года
IOC

Yashma Ransomware IOCs

ransomware

Команда BlackBerry Research & Intelligence выявила новый образец Yashma Ransomware (Chaos v6.0)

Содержание
  1. Yashma Ransomware
  2. Indicators of Compromise
  3. SHA256
  4. Files path

Yashma Ransomware

Хотя создатель вредоносной программы Chaos существует в природе всего год, Яшма утверждает, что это шестая версия (v6.0) этой вредоносной программы. Команда BlackBerry Research & Intelligence наблюдала боковое развитие каждой итерации, начиная с первой, названной "Ryuk .NET Builder" (Chaos v1.0), и заканчивая последней, "Yashma Ransomware Builder" (Chaos v6.0).

Первая версия вредоносной программы Chaos изначально называлась "Ryuk .Net Ransomware Builder v1.0". Эта угроза была разрекламирована на веб-форумах еще в июне 2021 года, утверждая, что является .NET-компилятором для печально известного семейства вымогательских программ Ryuk.

Файл представлял собой базовую консоль .NET, которая позволяла операторам вредоносного ПО создать образец угрозы, которая впоследствии станет известна как Chaos ransomware. Он также предоставлял им возможность создать индивидуальную записку о выкупе.

Выдавая себя за Ryuk, продвижение этого конструктора в темной паутине вызвало большую аналитическую и исследовательскую активность в сообществах кибербезопасности и реверс-инжиниринга. Однако никаких конкретных связей с настоящей программой Ryuk ransomware или с группой Wizard Spider, создавшей печально известную угрозу, обнаружено не было.

Хотя эта попытка оседлать хвост Ryuk и привлекла к создателю большое внимание, оно было резко отрицательным. Пользователи многих темных веб-форумов осудили создателя за этот обманчивый нейминг. Негативная реклама, видимо, зацепила автора, так как через несколько недель сборщик был переименован в Chaos, а вслед за ним были выпущены Chaos V2.0 и Chaos V3.0.

Новая вредоносная программа, созданная этим первоначальным "конструктором вымогательского ПО", была довольно простой, и ей не хватало многих функций, ожидаемых от типичной части вымогательского ПО. В результате эта угроза непреднамеренно работала скорее как деструктор или чистильщик.

Хотя в остальном вредоносное ПО, порожденное Chaos, имело более сотни целевых расширений файлов, которые оно пыталось зашифровать. Кроме того, вредоносная программа имела список файлов, которые она избегала шифровать, включая .DLL, .EXE, .LNK и .INI. Эти исключения, вероятно, были сделаны для того, чтобы предотвратить аварийное завершение работы устройства жертвы путем шифрования необходимых системных файлов.

Начальная версия Chaos перезаписывает целевой файл случайной строкой Base64, а не шифрует его по-настоящему. Поскольку оригинальное содержимое файлов теряется во время этого процесса, восстановление невозможно, что делает Chaos скорее чистильщиком, чем настоящей вымогательской программой.

В каждую папку, пораженную Chaos, вредоносная программа помещает записку с выкупом в виде "read_it.txt". Этот параметр является очень настраиваемым во всех итерациях конструктора, что дает операторам вредоносного ПО возможность включить в примечание о выкупе любой текст. Во всех версиях Chaos Ransomware Builder записка по умолчанию остается относительно неизменной и включает ссылки на биткоин-кошелек предполагаемого создателя этой угрозы.

После ребрендинга вредоносной программы Chaos вторая версия была более усовершенствованной, чем ее начальная итерация. Эта версия включала более продвинутые опции, которые можно ожидать увидеть в более развитых угрозах, как показано на рисунке 5. Она также (обманчиво) продолжает называть себя ransomware, хотя фактическая функциональность осталась на уровне файлоочистителя.

Вторая итерация Chaos имела дополнительную функциональность, создавая более продвинутые образцы ransomware, которые могли выполнять следующие действия:

  • Удаление теневых копий
  • Удаление каталогов резервных копий
  • отключать режим восстановления Windows

Хотя в Chaos v2.0 были добавлены эти возможности по нарушению работы систем восстановления файлов, угроза все еще была создана на базе Chaos v1.0/Ryuk .NET Builder. Это оставило ее основную функциональность шифрования без изменений, используя ту же процедуру шифрования.

Это означает, что вредоносная программа по-прежнему является деструктором, а не программой-выкупом, и оператор не может попытаться обеспечить восстановление файлов жертвы, даже если выкуп будет уплачен. Как ни странно, автор Chaos v2.0 даже упоминает об этом в разделе "О программе" сборщика. Фактически, автор указывает на отсутствие функциональности, ссылаясь на последующую скорость работы вредоносной программы в качестве преимущества. (Возможно, неудивительно отметить, что процесс уничтожения файлов происходит в два раза быстрее, чем их шифрование).

Менее чем через месяц была выпущена версия Chaos v3.0, в которой наконец-то появилась возможность шифрования файлов. Это означало, что автор мог также создать дешифратор для восстановления поврежденных файлов.

Хотя такое поведение теперь больше соответствовало действиям традиционных программ-вымогателей, конструктор Chaos v3.0 по-прежнему мог шифровать только файлы размером менее 1 МБ. Это означает, что он по-прежнему действовал как деструктор для больших файлов (таких как фотографии или видео) в системе несчастной жертвы.

Когда файл шифруется новой версией Chaos, он добавляет "Ключ шифрования" в начало каждого зашифрованного файла. Этот ключ генерируется при создании вымогательской программы.

Расшифровщик вредоносной программы использует этот ключ для восстановления ущерба, нанесенного вредоносной программой, как показано на рисунке 9. Однако эта версия вредоносной программы по-прежнему будет перезаписывать файлы размером более 1 МБ, как и ее предшественники, оставляя их невосстановленными.

Файлы размером менее 1 МБ передаются в функцию "EncryptFile", которая успешно использует AES-256 для шифрования файлов.

Поскольку автор все еще продолжал совершенствовать свое творение, вскоре была выпущена версия Chaos v4.0. Как и предыдущие версии Chaos Builder, вредоносные программы, созданные "Chaos Ransomware Builder v4", демонстрируют улучшения по сравнению с образцами Chaos 3.0, особенно в части использования процедуры шифрования AES/RSA.

Эти усовершенствования позволили конструктору создать вымогательское ПО, которое могло успешно справляться с шифрованием немного больших файлов - размером до 2,1 МБ. К сожалению, файлы большего размера все равно перезаписывались и уничтожались.

В Chaos 4.0 были добавлены следующие функциональные возможности (показаны на рисунке 11):

  • Возможность сменить обои рабочего стола жертвы
  • Настраиваемые списки расширений файлов
  • Улучшенная совместимость с шифрованием

Хотя Chaos v4.0 существует уже несколько месяцев, этот вариант Chaos получил широкую известность в апреле 2022 года, когда его использовала группа угроз под названием Onyx.

Эта группа проникала в сеть организации-жертвы, крала все ценные данные, которые находила, а затем выпускала "Onyx ransomware", свое собственное фирменное творение, основанное на Chaos Builder v4.0.

Группа Onyx просто настроила свою записку с требованием выкупа и создала уточненный список расширений файлов, на которые они хотели нацелиться. Других модификаций, отличающих его от других образцов, созданных с помощью Chaos v4.0, практически нет.

В отличие от стандартной записки Chaos о выкупе, которая не содержала практически никаких инструкций или указаний для пострадавших, группа, стоящая за Onyx, создала сайт утечки под названием "Onyx News", размещенный на "Onion" странице в анонимной сети Tor. Onyx использовала его для предоставления жертвам дополнительной информации о том, как восстановить свои данные.

В записке о выкупе для Onyx указывался адрес, логин и пароль, которые позволяли жертве войти в систему и вступить в дискуссию с субъектами стоящими за атакой. Этот разговор обычно приводил к тому, что оператор вредоносной программы требовал плату в криптовалюте Bitcoin за предоставление жертве ключа-дешифратора.
тоящие за Onyx, публиковали список жертв своих атак. Сайт утечки содержал информацию об их жертвах, а также открыто просматриваемые украденные данные (как показано на рисунке 13).

Как и следовало ожидать, Onyx страдал от тех же недостатков, что и другие "выкупные программы", созданные Chaos v4.0. Например, он шифровал только небольшие файлы, а большие файлы не восстанавливал.
Chaos 5.0/Yashma

Chaos Ransomware Builder v5.0 был выпущен в начале 2022 года и снова построен на фундаменте предыдущей версии, Chaos v4.0. Chaos 5.0 попытался решить самую большую проблему предыдущих версий угрозы, а именно то, что он не мог зашифровать файлы размером более 2 МБ без их безвозвратного повреждения.

Эта версия Chaos шифрует файлы жертв с помощью AES-256, а затем добавляет ключ в конец каждого файла, чтобы показать, что они были зашифрованы. Этот ключ затем используется новым дешифратором для декодирования файлов, возвращая их в исходное, незашифрованное состояние.

Опции персонализации в Chaos v4.0 также не изменились, что дает следующие возможности:

  • Создать пользовательскую записку о выкупе
  • Запуск при запуске системы
  • Запускать вредоносную программу как другой процесс
  • Засыпать перед выполнением
  • Устанавливать обои рабочего стола
  • Шифровать определенные расширения файлов
  • Нарушать работу систем восстановления
  • Распространять вредоносное ПО через сетевые соединения
  • Выбрать пользовательское расширение файла для шифрования
  • Отключить диспетчер задач Windows.

Хотя вредоносная программа выполняет свои вредоносные задачи на устройстве жертвы медленнее, чем когда она просто уничтожала файлы, в конечном итоге она работает так, как и ожидалось: файлы всех размеров шифруются ею должным образом и сохраняют возможность восстановления в прежнее незашифрованное состояние.

После выпуска Chaos Ransomware Builder v5 его шестая итерация подверглась очередному ребрендингу, на этот раз ее переименовали в Yashma.

Хотя на момент написания этого блога в свободном доступе было обнаружено лишь несколько экземпляров Yashma, эта вредоносная программа работает практически так же, как и ее аналог Chaos v5.0. Версия "Yashma" имеет только два усовершенствования, отличающие ее от предыдущих версий.

Теперь в ней есть функция, предотвращающая ее запуск на основе местоположения жертвы, определяемого через язык, установленный на устройстве жертвы. Такая уловка часто используется субъектами угроз, чтобы избежать юридических проблем в стране происхождения.

Вредоносная программа также может останавливать работу различных служб на устройстве жертвы. На основе анализа образцов Yashma, взятых из дикой природы, обновленная вредоносная программа атакует именно эти службы:

  • Антивирусные (AV) решения
  • Сервисы хранилищ
  • Службы резервного копирования
  • Службы хранения данных
  • Службы удаленного рабочего стола

Indicators of Compromise

SHA256

  • 0d8b4a07e91e02335f600332644e8f0e504f75ab19899a58b2c85ecb0887c738
  • f41962f51583d08ed7ca796b125f2300e03035b8790590e8e2d036f53bd9be79
  • 325dfac6172cd279715ca8deb280eefe3544090f1583a2ddb5d43fc7fe3029ed
  • 202e6f0501abaf85b5c53bafcd70e31aa20e65c140f13b15d45e60c00b0413c0
  • a98bc2fcbe8b3c7ea9df3712599a958bae0b689ae29f33ee1848af7a038d518a
  • 1d71add7ecfe9be642a84d080dfbc4b602a0f49239938a337c7c860eb7edf3fe
  • 31c783b0211bf4b72f10b6dac6f933b7aba570ff7a8c608fd8eb46311aec0091
  • 392a3adb44ab2640290f88f751d7608bc66a1c7df845fa1d0baa0aea78ac7a49
  • f3432c74402aa36468d6641d5ccc15c1e0ceb083bc0f7e73d2b5dbfa0cfb9974
  • 77f3cddd3cb245b2645b4885ebf2080f7c23f7101f4c3ce27239ea0326a8fcc5
  • fac94a8e02f92d63cfdf1299db27e40410da46c9e86d8bb2cd4b1a0d68d5f7a2
  • 6562f92ba9d4784bf30e87681e538e0f7b8eff26811ace6be8970b0a8e3e3ca0
  • 7a7f9b043b83184a537e09b76b811546d3032c776246d28ae0e4f6ca5f9f92b8
  • 8f236217c4e280b4950cedccbc6bbd03f31902525a7f9fe98b6de5bb50787cfb

Files path

  • %AppData%\Roaming\svchost.exe
Комментарии: 0
Похожие записи
0
2 дня
IOC

ToyMaker, брокер первоначального доступа, работающий в сговоре с группировками двойных вымогателей

ransomware
В 2023 году Cisco Talos обнаружила широкомасштабную компрометацию критической инфраструктурной организации, в ходе которой было обнаружено наличие нескольких угроз.
0
6 дней
IOC

ToyMaker, брокер первоначального доступа, работающий в сговоре с бандами двойных вымогателей

security
В 2023 году Cisco Talos обнаружил компромат на предприятие критической инфраструктуры, который включал в себя брокера первоначального доступа, известного как ToyMaker.