Robbinhood: Вымогатель, который блокировал Балтимор

Robbinhood: Вымогатель, который блокировал Балтимор

Прошел уже почти месяц с тех пор, как город Балтимор подвергся жестокой атаке вымогателей, которая заблокировала его серверы и оставила городское правительство без электронной почты, телекоммуникаций и сорвав транзакции с недвижимостью и оплату счетов, заставив городские офисы полагаться на Gmail и учетные записи Google Voice для ведения повседневных дел и поддержки жителей.

Похоже, что злоумышленники использовали платформу «вымогателей как услуга» для ведения атаки.

Город до настоящего времени продолжает работать после атаки без полностью функциональной системы электронной почты и других служб, но в основном держал в секрете детали атаки 7 мая . Тем временем некоторые эксперты по безопасности получили и изучили образцы так называемого вымогателя Robbinhood, использованного при атаке, пролив некоторый свет на код, использованный в разрушительной атаке на крупный город и нарушив его деятельность.

Они обнаружили, что Robbinhood не имеет никаких известных связей с существующими семействами вредоносных программ, а также не содержит функцию самораспространения, что означает, что для распространения с компьютера на компьютер требуется другой метод. В коде эксплойта EternalBlue не было никаких признаков, что было подчеркнуто в недавнем отчете New York Times как ключевое средство распространения вымогателей при атаке в Балтиморе. Эксперты говорят, что, возможно, злоумышленники использовали EternalBlue хотя бы в части атаки на город, но у них пока нет доказательств.

Более распространенный сценарий, который стал популярным среди злоумышленников-вымогателей, нацеленных на более финансово выгодные цели, такие как предприятия и крупные организации, заключается в том, что злоумышленники устанавливали вымогателей вручную, например, с использованием украденных учетных данных и протокола удаленного рабочего стола (RDP).

Большинство сегодняшних атак вымогателей в большей степени распространяются вручную, то есть это не черви: многие злоумышленники вначале отбрасывают бэкдоры, такие как Trickbot, которые собирают информацию о данных и серверах в сети жертвы, а затем они нацеливаются на конкретные серверы и системы, которые выглядят наиболее ценными.

«Злоумышленники выбирают векторы заражения в зависимости от своей цели. Если у их цели есть уязвимые серверы или системы, которые могут быть использованы, они могут использовать эксплойт для доставки вымогателей, и EternalBlue является одним из примеров «такого эксплойта», — говорит Кристофер Элизан, директор Flashpoint, который изучил образец вымогателей Robbinhood. «Нет никаких доказательств того, что EternalBlue использовался для распространения Robbinhood. Но не исключено, что EternalBlue был еще одним способом для заражения».

Например, если у цели есть некоторые пользовательские учетные данные для продажи в Dark Web, иногда злоумышленнику проще получить их и войти через RDP, чтобы внедрить вредоносное ПО, говорит он. «Или, если у целевой компании нет хорошей осведомленности пользователей, они могут просто попытаться использовать спам».

Джо Стюарт, независимый консультант, работающий с Armor по анализу Robbinhood, также не обнаружил никаких признаков EternalBlue в двоичном коде Robbinhood. «На самом деле для этого требуется какой-то другой метод развертывания», — отмечает Стюарт. Данный вымогатель может быть установлено вручную, или через контроллер домена или другим способом, говорит он. И этим способом может также быть EternalBlue.

По-прежнему остается загадкой первая стадия атаки — как злоумышленник проник.

Стюарт обнаружил, что Robbinhood было написано на языке программирования Golang (aka Go), созданном Google. Go редко используется для вымогателей: «Мы не видим этого слишком часто, но он становится все более популярным», — говорит он. Он говорит, что не нашел никакой связи между Robbinhood и другими известными семействами вредоносных программ.

Как и большинство современных вымогателей, Robbinhood пытается отключить приложения безопасности и системы резервного копирования, говорит он. «Он попытается отключить сетевые диски и удалить определенные расширения на сетевых дисках и в сетевых папках, где находятся резервные копии», — говорит он. «Это то, что вы ожидаете» от вымогателей, говорит он.

Также кажется, что злоумышленники Robbinhood используют или торгуют Robbinhood как «вымогатель как услуга». Стюарт говорит, что интерфейс панели, используемый злоумышленником для связи после атаки, содержит признаки модели обслуживания. Вредоносная программа, похоже, использует встроенный шаблон.

«Это больше похоже на вымогатель как услугу, чем на то, чтобы кто-то взломал его самостоятельно и разработал собственную полезную нагрузку».

Он говорит, что тоже самое верно для более ранней атаки на город Гринвилл, штат Северная Каролина. «Это определенно тот же сервис. Бинарный файл, который мы связали с атакой в Гринвилле, это Robbinhood», — говорит Стюарт. Но у каждого есть разные идентификаторы, встроенные в шаблоны.

Долгая дорога в Шарм-сити

Согласно недавнему исследованию, проведенному службой безопасности электронной почты Mimecast, в прошлом месяце 42% организаций государственного сектора подверглись разрушительной атаке вымогателей; 44% пострадали от двух до трех дней простоя после атаки вымогателей, а 30% пострадали от четырех до пяти дней.

«В конечном итоге … вымогатели сегодня становятся все более целенаправленными, потому что речь идет о финансовой выгоде», — говорит Джош Дуглас, вице-президент по разведке угроз в Mimecast.

Но до сих пор Балтимор не выплачивал выкуп 17 600 долларов в биткойнах за систему — в общей сложности около 76 280 долларов — злоумышленникам Robbinhood. Мэр Бернард С. «Джек» Янг, который ранее заявлял, что город не будет платить выкуп, по-видимому, недавно изменил свои взгляды.

Майлс Хэнди, пресс-секретарь президента городского совета Балтимора Брэндон Скотт, говорит, что электронная почта города и другие системы «находятся в процессе» возвращения в онлайн. По его словам, когда городские системы станут полностью работоспособными, Совет планирует созвать отобранный комитет для изучения состояния кибербезопасности города и ответных действий на атаку с использованием вымогателей.

Комитет «рассмотрит всю атаку с момента, когда на нас [атаковали], и до момента, когда она была решена», говорит он, и сосредоточится на том, что можно было сделать и как развернулось расследование атаки.

Добавляя оскорбление к травме, злоумышленник Robbinhood в течение нескольких недель издевался и угрожал мэру выплатить выкуп через Twitter, в то же время пропуская скриншоты конфиденциальных городских документов и того, что якобы было удостоверением пользователя, через уже не существующую учетную запись в социальных сетях.

По мотивам

Alt text

Владимир Безмалый

О безопасности и не только