Злоумышленники используют новый загрузчик для атаки с помощью BYOVD в ходе кампании DeadLock

Атака начинается с того, что злоумышленник размещает в папке «Видео» жертвы два файла: загрузчик с именем "EDRGay.exe" и уязвимый драйвер антивируса Baidu под маскировочным именем "DriverGay.sys". Этот драйвер содержит критическую уязвимость управления привилегиями CVE-2024-51324. Загрузчик, работая в пользовательском режиме, инициализирует драйвер и устанавливает с ним связь через Windows API "CreateFile()". Затем он передает драйверу идентификатор целевого процесса безопасности, используя функцию "DeviceIOControl()". Из-за уязвимости драйвер, функционирующий на уровне ядра с максимальными привилегиями, некорректно проверяет права вызывающей программы и выполняет команду на завершение процесса, мгновенно отключая службы EDR (обнаружения и реагирования на конечных точках) и антивируса.

Перед запуском шифрования злоумышленник выполняет скрипт PowerShell для подготовки системы. Этот скрипт автоматически повышает привилегии, обходя контроль учетных записей (UAC), и получает права администратора. Его основная задача - остановить и отключить автозапуск множества служб безопасности, резервного копирования и баз данных, которые могут помешать процессу шифрования. При этом скрипт содержит обширный список исключений для критически важных служб Windows, чтобы система оставалась работоспособной для обсуждения выкупа. Далее скрипт безвозвратно удаляет все теневые копии томов, лишая жертву возможности восстановить данные стандартными средствами Windows, после чего стирает собственные следы.

По данным телеметрии, злоумышленник получил доступ к сети жертвы за пять дней до развертывания вредоносного ПО-вымогателя. Предполагается, что для первоначального доступа были использованы скомпрометированные учетные данные. Внутри системы актор активировал службу удаленного рабочего стола (RDP), настроил правило брандмауэра для порта 3389 и запустил службу удаленного реестра для дальнейшей разведки. За день до шифрования была тихо установлена новая копия программы удаленного доступа AnyDesk, сконфигурированная для автоматического запуска и работы без обновлений, что обеспечило персистентность (устойчивое присутствие).

В рамках разведки злоумышленник выполнял команды для обнаружения контроллеров домена, привилегированных групп и других систем в сети. Для латерального перемещения использовались как стандартный RDP, так и альтернативные методы, например, запуск оснастки управления компьютером через "mmc.exe". Кроме того, с помощью легитимного исполняемого файла "SystemSettingsAdminFlows.exe" были отключены защита в реальном времени, облачные функции и отправка образцов в Защитнике Windows.

Вредоносное ПО-вымогатель DeadLock, написанное на C++, было скомпилировано в июле 2025 года. При запуске оно внедряет свой код в легитимный процесс "rundll32.exe", используя технику hollowing. Вся логика работы определяется встроенным блоком конфигурации размером 8888 байт, который содержит криптографическое зерно, списки процессов и служб для завершения, исключаемые пути и расширения, а также текст ransom note (вымогательского сообщения).

Шифровальщик использует собственный поточный шифр, а не стандартные криптографические API Windows. Ключи для шифрования генерируются на основе системного времени. Процесс включает рекурсивный обход файловой системы, проверку содержимого файлов в кодировке UTF-8 и побайтовое шифрование данных в памяти с последующей записью на диск. Зашифрованные файлы получают расширение ".dlock". Для усложнения автоматического анализа в код встроена 50-секундная задержка перед началом шифрования.

После завершения операции DeadLock меняет иконки зашифрованных файлов, устанавливает на рабочий стол специальные обои и отключает командную строку. В каждую папку помещается файл с вымогательским сообщением, в котором злоумышленники требуют выкуп в Bitcoin или Monero и предписывают жертве связаться с ними через мессенджер Session, известный высокой анонимностью. Угроза не использует типичный для ransomware сайт утечки данных, полагаясь на прямые переговоры.

SHA256

• 2d89fb7455ff3ebf6b965d8b1113857607f7fbda4c752ccb591dbc1dc14ba0da
• 3c1b9df801b9abbb3684670822f367b5b8cda566b749f457821b6481606995b3
• 3cd5703d285ed2753434f14f8da933010ecfdc1e5009d0e438188aaf85501612
• 47ec51b5f0ede1e70bd66f3f0152f9eb536d534565dbb7fcc3a05f542dbe4428
• be1037fac396cf54fb9e25c48e5b0039b3911bb8426cbf52c9433ba06c0685ce