Хакерская группировка REvil: от взлёта до падения

Логотип компании
Хакерская группировка REvil: от взлёта до падения
Именно они похитили чертежи у Apple, нанесли ущерб американскому поставщику мяса JBS и поставщику IT-решений Kaseya. Как им это удалось и на чем группировака "прокололась"?

14 января 2022 года ФСБ сообщила о пресечении деятельности киберпреступной группировки REvil, участники которой с помощью шифровальщика-вымогателя блокировали работу крупных иностранных компаний и требовали выкуп за восстановление доступа к данным. В ходе обысков у 14 членов группы изъяли более 426 млн рублей, 600 тыс. долларов США, 500 тыс. евро, 20 автомобилей премиум-класса, компьютерную технику и криптокошельки. Похоже, эпоха REvil закончилась, но это даёт возможность проанализировать тактики хакеров и разработать стратегию защиты от подобных атак в будущем. 

История REvil

REvil — яркий пример реализации концепции вымогательского ПО как услуги (ransomware-as-a-service — RaaS). После первого обнаружения следов группировки были выявлены её связи с недавно исчезнувшим с горизонта вымогателем GandCrab. Одной из таких связей было использование уязвимости Oracle WebLogic, а также сходство в URL-адресах и используемых серверах управления (C&C).

В 2020 году REvil ввела в свои схемы двойное вымогательство, используя угрозы публикации слитых файлов в качестве дополнительного средства принуждения жертв к оплате. Примечательно, что REvil выполняла свои угрозы и действительно публиковала украденные данные на собственном специализированном сайте утечек, а также на специализированных форумах.

В 2021 году Revil атаковала крупного американского поставщика мяса JBS и поставщика IT-решений Kaseya. Ещё операторы REvil похитили чертежи у технологического гиганта Apple с помощью атаки на его поставщика, компанию Quanta Computer. REvil также была связана с DarkSide, которая провела нашумевшую атаку на компанию Colonial Pipeline.

Громкие инциденты вывели REvil на первое место в списке операторов программ-вымогателей, деятельность которых стремились пресечь правительства многих стран.

Основные цели для атак

Как показывают сенсоры глобальной системы обнаружения Trend Micro, атаки REvil были сосредоточены в основном в США, за которыми с большим отрывом следуют Мексика и Германия. Это согласуется с данными, обнаруженными в коде REvil, который намеренно исключает страны СНГ из списка целей.

Хакерская группировка REvil: от взлёта до падения. Рис. 1

Страны с наибольшим числом попыток атак на вымогательское ПО REvil (с 1 января по 6 декабря 2021 года). 

Наибольшее количество обнаружений, связанных с REvil, мы наблюдали в транспортной отрасли, за нею следует финансовый сектор. В нашем отчёте, обобщающем ransomware-активность в первой половине 2021 года, транспорт уже входил в тройку наиболее атакуемых отраслей, вероятно, из-за своей роли в цепочке поставок и логистике. В целом все критически важные отрасли были целями атак REvil в 2021 году.

  Хакерская группировка REvil: от взлёта до падения. Рис. 2

Отрасли с наибольшим числом попыток атак для вымогательского ПО REvil (с 1 января по  6 декабря 2021 года). 

Цепочки и методы заражения

Все атаки REvil были целевыми. Преступники ориентировались на конкретную жертву, поэтому выбирали инструментарий и персонализировали методы проникновения под каждую конкретную ситуацию. Делать это позволяла предварительный сбор сведений о компании, против которой планировалась атака.

Именно поэтому хакеры использовали несколько вариантов атакующих цепочек, которые условно можно назвать упрощённой, стандартной и расширенной.

Хакерская группировка REvil: от взлёта до падения. Рис. 3

Стандартная цепочка заражения REvil.

Specific attack flows


Хакерская группировка REvil: от взлёта до падения. Рис. 4

Сильно персонализированная расширенная цепочка атаки

  Хакерская группировка REvil: от взлёта до падения. Рис. 5

Упрощённая цепочка атаки. Именно она использовалась для заражения Quanta Computer. 

Хакерская группировка REvil: от взлёта до падения. Рис. 6

Цепочка заражения, использованная для атаки на Kaseya. 

Первоначальный доступ

Для первоначального доступа к системам намеченной жертвы операторы REvil использовали различные варианты от вредоносных писем с фишинговыми ссылками и «заряженными» вложениями до доступа по RDP и использования действительных учётных записей, взломанных веб-сайтов и эксплойтов.

Успешная реализация этих тактик приводила к загрузке и выполнению полезной нагрузки. Примечательно, что хакеры использовали стандартные системные утилиты — CertUtil, PowerShell или обычные cmd-файлы.

В некоторых случаях использовался доступ по RDP и утилита PsExec для получения контроля над сетью и последующего развёртывания полезной нагрузки.

Маскировка присутствия

В кампаниях REvil мы наблюдали использование утилит PC Hunter и Process Hacker для обнаружения и завершения некоторых служб и отключения антивирусных продуктов. Эти в общем-то легитимные инструменты тоже весьма популярны среди операторов современных программ-вымогателей.

Читайте также
Одной из самых критичных инженерных систем центра обработки данных (ЦОД) можно назвать систему электроснабжения. На нее вместе с системой бесперебойного питания может приходиться до 25% от общей стоимости. Поэтому, прежде чем приобрести то или иное решение, бизнес тщательно взвешивает не только его преимущества, но и недостатки, а также связанные с ним риски.

Ещё один инструмент REvil — KillAV — специально разработан для устранения антивирусных продуктов путём удаления ключей реестра и программных компонентов либо путём завершения процессов из его списка.

Новые варианты софта REvil добавили в свой арсенал функций процедуру Safeboot, которая запускается, когда в качестве аргумента для нового варианта указывается ключ "-smode". Новая версия создавала ключи в разделе реестра RunOnce для перезапуска в Safemode и обхода решений безопасности, которые не работают в Safemode, после чего беспрепятственно запускала процедуру шифрования.

При компрометации цепочки поставок Kaseya для отключения Windows Defender преступники использовали команды PowerShell.

Атака

Атака и сам процесс шифрования происходили достаточно быстро:

●          преступники повышали привилегии с помощью эксплойта или имперсонации токена;

●          вредонос расшифровывал свой JSON-конфиг, который хранился в зашифрованном виде в одной из секций исполняемого файла (для расшифровки использовался алгоритм RC4);

●          JSON-файл содержал следующую конфигурацию:

▪          pk → открытый ключ шифрования злоумышленников в base64,

▪          pid → персональный идентификатор атакующего,

▪          sub → идентификатор кампании,

▪          dbg → режим отладки,

▪          fast → быстрый режим,

▪          wipe → включить стирание определённых каталогов,

▪          wht → словарь белых списков,

▪          fld → папки из белого списка,

▪          fls → имена файлов в белом списке,

▪          ext → расширения файлов в белом списке,

▪          wfld → каталоги для стирания,

▪          prc → процессы для уничтожения перед шифрованием,

▪          dmn → домены, с которыми нужно связаться после шифрования,

▪          net → отправка доменам запроса HTTP POST,

▪          nbody → вымогательская записка в кодировке base64,

▪          nname → имя файла вымогательской записки,

▪          exp → запустить эксплойт,

▪          img → сообщение для размещения на Рабочем столе в кодировке base64,

▪          svc → службы, которые нужно остановить;

●          затем вредонос проверял раскладку клавиатуры или язык поражённой системы, чтобы не работать в странах СНГ:

    Хакерская группировка REvil: от взлёта до падения. Рис. 7

●         после этого он создавал записи в реестре для ключей, расширений файлов и статистики после шифрования;

●         затем полезная нагрузка приступала к процедуре шифрования, в ходе которой используются данные из конфигурации;

●         наконец, вредонос удалял все бэкапы, включая теневые копии, и сообщал C&C о состоянии заражения.

Стоит ли ждать возрождения REvil?

После ликвидации группы маловероятно, что созданный её участниками инструментальный набор для атак вновь появится под именем REvil из-за негативной репутации хакеров. В частности, некоторые их действия привели к тому, что покупатели их сервиса RaaS стали сомневались в добропорядочности REvil и подозревать их в сотрудничестве с силовыми ведомствами. На некоторых форумах сообщалось о бэкдоре в их вредоносе, который обманывал купивших услугу при получении выкупа. В итоге это вызвало значительные сомнения в надёжности группы среди «коллег».

С исчезновением UNKN у REvil не стало лидера. 0_neday, преемник UNKN, не смог создать доверие к группировке. В отличие от UNKN новый лидер допускал серьёзные ошибки, например, не смог сгенерировать новые закрытые ключи для восстановленного сайта утечки данных.

Эффективность работы REvil в сокращённом составе снизилась и фактически к моменту ареста участников группа влачила довольно печальное существование. Попытки привлечь новых аффилированных лиц путём увеличения их доли в выкупе до 90% не увенчались успехом, поскольку эти усилия, вероятно, были истолкованы как последняя отчаянная мера.

Теоретически можно допустить, что, если какая-то группа хакеров получит доступ к наработкам REvil, возможно появление их «наследников». Ребрендинг — довольно распространённая практика среди операторов вымогателей. Например, DarkSide переименовала себя в BlackMatter.

Аффилированные лица REvil, скорее всего, перейдут к другим операторам вымогателей и количество вымогательских атак не уменьшится. Именно поэтому для организаций, которые уделяют внимание вопросам обеспечения безопасности, важно понимание техник и тактик, которые использовали REvil.

 

Опубликовано 28.01.2022

Похожие статьи