15/08/25
Группа использует собственные утилиты для обхода защитных систем, кражи данных и шифрования файлов.
По данным исследователей Trend Micro, жертвами становятся организации из финансовой, производственной, развлекательной и технологической сфер, передаёт Securitylab. Несмотря на то, что о деятельности группировки впервые упомянули на форуме BleepingComputer ещё в сентябре 2024 года, широкую известность она так и не получила, однако её методы говорят о высоком уровне подготовки участников. По оценкам специалистов, состав Crypto24, вероятно, включает бывших ключевых членов закрытых ныне группировок-вымогателей.
После проникновения в корпоративную сеть злоумышленники активируют стандартные административные учётные записи Windows или создают новые локальные профили, чтобы закрепиться в инфраструктуре. Далее выполняется разведка с помощью специально подготовленного batch-скрипта, который собирает сведения об учётных записях, аппаратной конфигурации и структуре дисков. Для долгосрочного присутствия создаются вредоносные службы и задачи планировщика: WinMainSvc — сервис кейлоггера, и MSRuntime — загрузчик шифровальщика.
Для повышения привилегий и отключения защитных систем используется модифицированная версия утилиты RealBlindingEDR, изначально находящейся в открытом доступе. Инструмент идентифицирует производителя антивирусного решения по метаданным драйвера и, если он совпадает с зашитым в коде списком, блокирует драйверные хуки и callbacks, чтобы «ослепить» защиту. В список входят продукты Trend Micro, Kaspersky, Sophos, SentinelOne, Malwarebytes, Cynet, McAfee, Bitdefender, Broadcom (Symantec), Cisco, Fortinet и Acronis.
Если у атакующего есть права администратора, для удаления Trend Vision One применяется штатная утилита XBCUninstaller.exe, запускаемая через gpscript.exe. Этот инструмент предназначен для корректного удаления модуля Endpoint BaseCamp при обслуживании системы, но в атаке он используется, чтобы обеспечить незаметное выполнение WinMainSvc.dll и MSRuntime.dll.
Записыватель клавиш, маскирующийся под «Microsoft Help Manager», регистрирует названия активных окон и нажатия клавиш, включая комбинации с Ctrl, Alt, Shift и функциональными кнопками. Для перемещения по сети и подготовки данных к вывозу применяются общие SMB-ресурсы, а передача похищенных файлов на Google Drive выполняется самописным инструментом через WinINET API. Перед запуском шифровальщика операторы удаляют теневые копии томов Windows, лишая пострадавших возможности простого восстановления информации.
