Программы-вымогатели
В этой записи блога рассматриваются характеристики нового варианта программы-вымогателя WannaRen, которую мы назвали программой-вымогателем Life в честь ее расширения шифрования.
Время Читать: ( слова)
Хотя программа-вымогатель WannaRen не так известна, как семейства программ-вымогателей, такие как Ryuk, REvil или Maze, она сделала себе имя еще в 2020 году после того, как запущенные атаки против китайских интернет-пользователей, заразив десятки тысяч жертв. Однако после этой атаки стало относительно тихо: авторы программы-вымогателя даже поделились своим закрытым ключом шифрования с охранной компанией в августе 2020 года.
В октябре 2022 года мы обнаружили то, что изначально считали новой программой-вымогателем, только для того, чтобы проанализировать ее и обнаружить, что это может быть возрождение спящего WannaRen. В этой записи блога рассматриваются характеристики этого нового варианта, который мы назвали программой-вымогателем Life в честь расширения шифрования. В отличие от атак программы-вымогателя WannaRen 2020 года, которые ранее были нацелены на Китай и Тайвань, атаки нового варианта нацелены на организации в Индии.
Версия программы-вымогателя WannaRen 2020 года распространялась в виде вредоносного кода PowerShell в комплекте с инструментами активации. Затем сценарий получил загрузчик PowerShell, который подключился к ссылке для извлечения вредоносных модулей программы-вымогателя. В отличие от предыдущей версии, этот новый вариант использует пакетный файл для загрузки и выполнения WINWORD.exe, чтобы выполнить боковую загрузку DLL и загрузить программу-вымогатель в память.
Впервые мы обнаружили инфекцию в процессе невредоносного исполняемого файла. WINWORD.exe (исполняемый файл Microsoft Word). Однако дальнейшее расследование показало, что это заражение представляет собой многокомпонентное вредоносное ПО, которое злоупотребляет WINWORD.exe за вредоносную неопубликованную загрузку DLL (к концу октября мы обнаружили варианты, злоупотребляющие NTSD.exe вместо). Кроме того, фактическая программа-вымогатель также попадает в систему в виде зашифрованного файла, а злоумышленники используют аргументы командной строки, переданные WINWORD, для получения программы-вымогателя.
Обратите внимание, однако, что включение этого набора подпрограмм в атаку программ-вымогателей не ново; мы видели аналогичные подходы в исполнении более известных групп, таких как LockBit.
Также известно, что WannaRen имитирует некоторые аспекты WannaCry (после чего он был придуман), особенно в способе доставки: в прошлом наблюдалось использование троянских установщиков и злоупотребление такими эксплойтами, как EternalBlue, для доставки. (как дань уважения , откуда и было придумано его название). И после долгого перерыва он вернулся с новыми трюками в своем арсенале. К концу октября мы даже обнаружили варианты, злоупотребляющие NTSD.exe.
Помимо загрузчика предыдущая версия WannaRen внедрялась в различные процессы, включая svchost.exe, cmd.exe, mmc.exe, ctfmon.exe и rekeywiz.exe. Этот вариант, с другой стороны, загружался в память только для выполнения программы-вымогателя.
После выполнения WINWORD.exe загрузит wwlib.dll и выполнит экспорт FMain.
После загрузки wwlib.dll начинает с разбора переданных аргументов выполнения. Сначала он ищет зашифрованный шеллкод, sc.dat, и проверяет, существует ли файл в том же каталоге, где находятся вредоносные модули. Подобно шелл-коду, он также ищет зашифрованный двоичный файл программы-вымогателя, конфиг.бин, и проверяет, существует ли файл в том же каталоге, где находятся вредоносные модули. Если он найден, он использует расшифрованный шелл-код для загрузки программы-вымогателя в память, а затем продолжает свою процедуру программы-вымогателя.
Хотя нам еще предстоит полностью проверить корреляцию между новым вариантом WannaRen и использованием инструментария Shadow Brokers (он же просочившийся Инструменты группы уравнений) в этой недавней атаке, безусловно, стоит отметить, что многие системы, затронутые WannaRen, имеют в своей системе упомянутые инструменты взлома.
Также кажется, что весь пакет программ-вымогателей (не вредоносные двоичные файлы и троянские библиотеки DLL) поставляется в виде пакетов MSI.
После того, как программа-вымогатель Life зашифрует файл, она добавит к нему расширение «.life». Записка о выкупе, “ПРОЧИТАЙТЕ МЕНЯ.txt”затем создается в папке %Desktop%.
Хотя первоначальный вариант WannaRen был активен только в течение короткого времени, за это время ему удалось нанести большой урон. С его повторным появлением в качестве нового варианта вполне возможно, что первоначальные операторы (или злоумышленники, которым удалось получить доступ к его коду) стремятся расшириться в другие регионы.
Чтобы защититься от атак программ-вымогателей, организациям следует рассмотреть возможность реализации многоуровневого подхода к безопасности для защиты возможных точек входа в систему (конечная точка, электронная почта, Интернет и сеть). Следующие решения безопасности могут обнаруживать вредоносные компоненты и подозрительное поведение:
- Trend Micro Vision One™ обеспечивает многоуровневую защиту и обнаружение поведения, что помогает блокировать сомнительное поведение и инструменты на ранней стадии, прежде чем программа-вымогатель сможет нанести необратимый ущерб системе.
- Trend Micro Cloud One™ Workload Security защищает системы как от известных, так и от неизвестных угроз, использующих уязвимости. Эта защита стала возможной благодаря таким методам, как виртуальное исправление и машинное обучение.
- Trend Micro™ Deep Discovery™ Email Inspector использует настраиваемую изолированную программную среду и расширенные методы анализа для эффективной блокировки вредоносных электронных писем, в том числе фишинговых, которые могут служить точками входа для программ-вымогателей.
- Trend Micro Apex One™ предлагает автоматизированное обнаружение угроз следующего уровня и реагирование на сложные проблемы, такие как бесфайловые угрозы и программы-вымогатели, обеспечивая защиту конечных точек.
Индикаторы компрометации (IOC)
Индикаторы компрометации для этой записи в блоге можно найти здесь.
Теги
sXpIBdPeKzI9PC2p0SWMpUSM2NSxWzPyXTMLlbXmYa0R20xk