Tym razem nie będziemy pisać o cyberatakach przeprowadzanych na kraje europejskie przez Rosję, ale o nowej grupie hakerskiej, która atakuje właśnie firmy z Rosji dzięki szerokiego arsenału ransomware. Opisywany aktor zagrożeń znany jest jako Crypt Ghouls i został powiązany z zestawem cyberataków skierowanych w rosyjskie firmy i agencje rządowe. Oprócz dążeń stricte finansowych ich celem jest zakłócenie operacyjności podmiotów w Rosji.
Grupa ma w swoim ekwipunku zestaw pentesterskich narzędzi, takich jak: Mimikatz, XenallPasswordPro, Pingcastle, Localtonet, Resocks, Anydesk, Psexec, a ostatecznym ładunkiem jest dobrze znany ransomware Lockbit 3.0 lub Babuk.
Ofiary złośliwych ataków obejmują agencje rządowe, a także firmy surowcowe, energetyczne, finansowe i detaliczne w Rosji.
Rosyjski dostawca bezpieczeństwa cybernetycznego podał, iż był w stanie wskazać początkowy wektor włamania tylko w dwóch przypadkach, przy czym podmioty zagrożone wykorzystują poświadczenia logowania wykonawcy w celu połączenia z systemami wewnętrznymi za pośrednictwem VPN.
Podobno połączenia VPN pochodziły z adresów IP związanych z siecią rosyjskiego dostawcy hostingu i sieci wykonawcy, co wskazuje na próbę poruszania się poza detekcją poprzez stworzenie zaufanych relacji. Uważa się, iż sieci kontrahentów są naruszane dzięki usług VPN lub wykorzystania standardowych wad bezpieczeństwa.
Początkowa faza dostępu zaczyna się po udanym wdrożeniu NSSM i LocalToneT narzędzi do utrzymania zdalnego dostępu, a następne kroki są możliwe dzięki narzędziom:
- XenallPasswordPro – do zbierania danych uwierzytelniania,
- Cobint Backdoor,
- Mimikatz – aby wydobyć poświadczenia ofiar,
- Dumper.ps1 – aby zrzucić bilety Kerberos z pamięci podręcznej LSA,
- Minidump – do wyodrębnienia poświadczeń logowania z pamięci LSass.exe,
- cmd.exe – do kopiowania poświadczeń przechowywanych w Google Chrome i Microsoft Edge Browsers,
- Pingcastle – do rozpoznania sieci i domen AD,
- PAExec – do uruchamiania zdalnych poleceń,
- AnyDesk i Resocks Socks5 Proxy – do zdalnego dostępu.
Ataki kończą się na szyfrowaniu danych systemowych przy użyciu publicznie dostępnych wersji Lockbit 3.0 dla systemu Windows i BABUK dla Linux/ESXI, jednocześnie z szyfrowaniem danych obecnych w koszu, co ma utrudnić odzyskiwanie informacji.
„Atakujący pozostawiają notę okupową z linkiem zawierającym ich identyfikator w usłudze przesyłania wiadomości sesji do przyszłego kontaktu” – informuje Kaspersky. „Łączą się z serwerem ESXI za pośrednictwem SSH, przesyłają Babuk i inicjują proces szyfrowania plików w maszynach wirtualnych”.
Wybór narzędzi i infrastruktury Crypt Ghouls w tych atakach pokrywa się z podobnymi kampaniami prowadzonymi przez inne grupy ukierunkowane na Rosję w ostatnich miesiącach, w tym Morlock, Blackjack, Twelve czy Excobalt.
Cyberprzestępcy wykorzystują naruszenia poświadczeń, często należących do podwykonawców i popularnych narzędzi open source. Wspólny zestaw narzędzi używany w atakach na Rosję utrudnia wskazanie konkretnych zaangażowanych grup hacktivistów. Sugeruje to, iż obecni aktorzy nie tylko dzielą się wiedzą, ale także swoimi zestawami narzędzi. Wszystko to utrudnia zidentyfikowanie konkretnych złośliwych grup stojących za falą ataków skierowanych w rosyjskie organizacje.
