29/07/20
Северокорейская киберпреступная группировка Lazarus активно использует созданное ею вымогательское ПО VHD для атак на предприятия. Как сообщают специалисты «Лаборатории Касперского», образцы VHD были впервые обнаружены в марте-мае 2020 года в ходе расследования двух инцидентов безопасности.
Согласно отчету ЛК, в первом случае вымогатель был внедрен в корпоративные сети с помощью распространяемого по протоколу SMB инструмента для брутфорс-атак, а во втором – с помощью вредоносного фреймворка MATA, также известного как Dacls.
С точки зрения функционала VHD представляет собой стандартное вымогательское ПО. Программа распространяется по подключенным к атакуемому компьютеру жестким дискам, шифрует файлы и удаляет все папки System Volume Information, тем самым лишая жертву возможности восстановить Windows. Более того, VHD может «замораживать» процессы, потенциально способные защитить важные файлы от модифицирования (например, Microsoft Exchange или SQL Server).
Как установили исследователи, атака начинается с эксплуатации уязвимостей в VPN-шлюзах. Проникнув в атакуемую сеть, злоумышленники повышают свои привилегии на скомпрометированном устройстве и устанавливают бэкдор, являющийся частью вредоносного фреймворка MATA. Этот бэкдор предоставляет атакующим контроль над сервером Active Directory, что позволяет им доставлять полезную нагрузку VHD на все системы внутри сети с помощью Python-загрузчика.
«Мы знаем, что Lazarus всегда преследует финансовую выгоду, однако после WannaCry мы больше не видели, чтобы она занималась вымогательским ПО. Хотя очевидно, что группировке далеко до других киберпреступных группировок, использующих в вымогательских атаках принцип «бей и беги», тот факт, что она обратилась к таким типам атак, вызывает беспокойство», - отмечают авторы отчета.
