Группа вымогателей NoName уже более трех лет пытается создать себе репутацию
11/09/24
Специалисты ESET предположили, что NoName теперь сотрудничает с RansomHub в качестве партнера.
Хакеры применяют кастомизированные инструменты, входящие в семейство вредоносных программ Spacecolon. Для проникновения в сеть киберпреступники используют методы брутфорс-атак, а также эксплуатируют старые уязвимости. Недавно в арсенале NoName появился новый шифровальщик — ScRansom, заменивший Scarab, пишет Secuirtylab.
Исследователи отслеживают деятельность группы с 2023 года, присвоив ей кодовое название CosmicBeetle. ESET подчеркивает, что несмотря на меньшую сложность ScRansom по сравнению с другими известными угрозами, этот шифровальщик продолжает развиваться и представляет опасность.
ScRansom поддерживает частичное шифрование с разными режимами скорости, давая злоумышленникам гибкость. Программа также заменяет содержимое файлов постоянным значением, делая их восстановление невозможным. Шифровальщик способен работать со всеми типами носителей — локальными, удалёнными и съёмными. Перед запуском шифрования ScRansom отключает ключевые процессы и службы Windows, включая Защитника Windows, теневые копии и процессы, связанные с виртуализацией.
Шифрование ScRansom использует сложную схему, комбинируя алгоритмы AES-CTR-128 и RSA-1024. Однако многоступенчатый процесс шифрования порой приводит к ошибкам, которые могут помешать расшифровке даже при наличии правильных ключей. В одном из случаев жертва получила 31 ключ для расшифровки, но так и не смогла восстановить все файлы.
ScRansom продолжает развиваться. Сам вирус написан на языке Delphi, как и другие инструменты CosmicBeetle. Интересно, что для запуска шифрования требуется вмешательство человека, что затрудняет его обнаружение в автоматизированных песочницах. Последние версии вируса автоматизированы и требуют минимального вмешательства. ScRansom атакует файлы на всех дисках и использует несколько режимов шифрования, один из которых полностью уничтожает данные, делая их восстановление невозможным.
В дополнение к брутфорс-атакам, NoName активно эксплуатирует уязвимости, которые чаще всего встречаются в инфраструктуре малых и средних компаний. Среди них — CVE-2017-0144 (EternalBlue), CVE-2020-1472 (ZeroLogon), уязвимости FortiOS SSL-VPN (CVE-2022-42475), а также бреши в Veeam и Active Directory. В атаках NoName также эксплуатируется уязвимость CVE-2017-0290 через специальный скрипт, отключающий защитные функции Windows.
Попытки группы заявить о себе не ограничиваются только внедрением новых шифровальщиков. Исследователи заметили, что CosmicBeetle начала использовать утечку исходного кода вируса LockBit, имитируя известную преступную группировку как в требованиях выкупа, так и на сайтах для утечки данных. Это помогает убедить жертв платить выкуп, думая, что они имеют дело с более опытными злоумышленниками.
В сентябре 2023 года CosmicBeetle создала сайт, который является копией сайта LockBit, где публиковались данные жертв, поражённых не только NoName, но и самой LockBit. В ноябре злоумышленники пошли дальше, зарегистрировав домен lockbitblog[.]info и использовав бренд LockBit для дальнейших атак.
Использование утечек инструментов для шифрования, как в случае с LockBit, — это частая практика для неопытных групп вымогателей. Это помогает им не только воспользоваться узнаваемым брендом, но и получить надёжно работающий образец шифровальщика. В ходе одного из инцидентов, начавшегося с неудачной попытки развернуть ScRansom, хакеры через несколько дней воспользовались инструментами RansomHub, что позволило исследователям предположить возможное партнерство NoName с этой группировкой.
Хотя окончательных доказательств сотрудничества нет, активное развитие ScRansom и переход на использование инструментов LockBit говорят о том, что NoName не собирается прекращать свою деятельность.