Мультиплатформенний механізм зловмисного програмного забезпечення. Бекдор MATA використовувався у програмі-вимагачі VHD, викриваючи групу APT Lazarus як прихильників .
Аналізуючи два випадки використання програм-вимагачів VHD під час атак у Європі та Азії, дослідники Kaspersky змогли пов’язати їх із сумнозвісною північнокорейською групою APT Lazarus. І розробка програми-вимагача, і її фінансова підґрунтя вказують на зміну стратегії групи; обидва є надзвичайно незвичними для спонсорованої урядом групи APT.
У березні та квітні 2020 року з’явилися перші повідомлення про так звану програму-вимагач VHD, яка характеризується здатністю до самовідтворення та має на меті вимагати гроші у своїх жертв. Використання програми, скомпільованої з обліковими даними конкретної жертви, для поширення зловмисного програмного забезпечення подібне до того, що роблять кампанії APT. Дослідники Kaspersky змогли пов’язати програму-вимагач із групою Lazarus APT після аналізу інциденту, у якому програма-вимагач VHD використовувалася в тісному зв’язку з відомими інструментами Lazarus проти компаній у Франції та Азії.
Бекдор мультиплатформенної інфраструктури зловмисного програмного забезпечення MATA викриває спонсорів
У період з березня по травень 2020 року фахівці Kaspersky провели два незалежні розслідування, пов’язані з програмою-вимагачем VHD. Під час першого інциденту в Європі було мало доказів того, хто стоїть за атаками, хоча методи поширення були подібні до тих, які використовували групи APT. Загалом напад не відповідав звичайному способу дії відомих угруповань, спрямованих на великі та важливі цілі. Крім того, існувала лише дуже обмежена кількість зразків шкідливих програм-вимагачів і оприлюднених випадків, що свідчить про те, що ця сімейство шкідливих програм не може бути широко проданою на підпільних форумах, як це зазвичай.
Однак у другій атаці, в якій використовувалося програмне забезпечення-вимагач VHD, ланцюжок зараження вдалося простежити; таким чином дослідники змогли пов’язати шкідливе програмне забезпечення з групою Lazarus. Серед іншого, люди, які стояли за атакою, використовували бекдор, який є частиною мультиплатформенного фреймворку MATA, про який Касперський нещодавно докладно повідомив, і його можна віднести до цієї групи APT через схожість у коді та інструментах. За даними телеметрії Касперського, жертви, заражені фреймворком MATA, знаходилися в Німеччині, Польщі, Туреччині, Кореї, Японії та Індії.
Шифрування Trojan VHD: Результати оцінених атак
Ці висновки свідчать про те, що Lazarus стоїть за виявленими на даний момент кампаніями програм-вимагачів VHD. Програмне забезпечення-вимагач, яке використовувалося, було розроблено та керовано самою групою, що є досить незвичайним для кіберзлочинного середовища.
«Ми знали, що діяльність Lazarus завжди була спрямована на фінансову вигоду, але з часів WannaCry [4] у групи не було жодної діяльності, пов’язаної з програмами-вимагачами», — коментує Іван Квятковський, дослідник безпеки з Global Research and Analysis Team (GReAT) Kaspersky. . «Хоча очевидно, що група не може зрівнятися з ефективністю інших кіберзлочинців за допомогою такого підходу до програм-вимагачів, викликає занепокоєння те, що вони звернулися до такого типу атак. Глобальна загроза програм-вимагачів вже досить велика і часто має значний фінансовий вплив на жертв, іноді доводячи їх до банкрутства. Питання, яке ми повинні поставити, полягає в тому, чи є ці атаки одноразовим експериментом чи частиною нової тенденції, і, отже, чи варто приватним компаніям турбуватися про те, щоб стати жертвою спонсорованих державою суб’єктів загрози. Незважаючи на це, організації повинні усвідомлювати, що конфіденційність важливіша, ніж будь-коли. Резервне копіювання важливих даних і інвестиції в реактивний захист є абсолютною необхідністю».
Поради Касперського щодо захисту від атак програм-вимагачів
- Розкажіть співробітникам про те, як фішинг розповсюджує програми-вимагачі та на що працівникам слід звернути увагу, щоб уникнути злому програмами-вимагачами. Тут можуть допомогти спеціальні навчальні концепції, такі як Kaspersky Automated Security Awareness Platform.
- Компанії повинні гарантувати, що всі використовувані програмні рішення, додатки та системи завжди оновлюються. Використання рішення безпеки з функціями керування вразливістю та виправленнями, наприклад Kaspersky Vulnerability та Patch Management, допомагає виявити невиправлені вразливості у вашій власній мережі.
- Проводьте регулярні аудити кібербезпеки власних мереж і усувайте виявлені вразливості.
- Усі кінцеві точки та сервери мають бути захищені комплексним рішенням. Відповідне рішення, таке як Kaspersky Integrated Endpoint Security, поєднує безпеку кінцевих точок із функцією «пісочниці» та EDR, забезпечуючи захист від відомих і невідомих загроз.
- Команда безпеки повинна завжди мати актуальні дані розвідки про загрози, щоб бути в курсі нових інструментів, методів і тактик, які використовують загрозливі особи та кіберзлочинці.
- Програми-вимагачі є кримінальним злочином. Тому компанії, які стають жертвами, ніколи не повинні відповідати на вимоги викупу та не повинні платити. Натомість про інцидент слід повідомити місцеві правоохоронні органи. Крім того, на сайті є безкоштовні засоби розшифровки nomoreransom.orgхто при необхідності може відновити дані.
Дізнайтеся більше на Kaspersky's Securelist.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/