duty-free.cc

Новый вымогатель Spirals зашифровал сеть жертвы менее чем за 24 часа

Новый вымогатель Spirals зашифровал сеть жертвы менее чем за 24 часа

Новая группировка вымогателей Spirals осуществила полный цикл корпоративного взлома — от первоначального доступа до кражи данных и шифрования — менее чем за 24 часа.

Как проходила атака?

Атака произошла в июне и затронула IT-компанию в Южной Азии. Точкой входа стал сервер IIS (Internet Information Services), доступный из интернета. После получения доступа и загрузки веб-шелла ASP.NET атакующий действовал стремительно:

  • Обошёл User Account Control (UAC)
  • Включил Remote Desktop и создал локальный аккаунт для постоянного доступа
  • Выгрузил SAM-реестр и память процесса LSASS для извлечения учётных данных
  • Попытался удалить защитное ПО на хостах
  • Использовал WMI для горизонтального перемещения на более чем десяток систем
  • Установил резервные каналы удалённого доступа через revsocks, Chisel и туннели Cloudflare

PowerShell-нагрузка отключила Microsoft Defender, удалила его базы угроз и остановила сервисы, связанные с 23 продуктами резервного копирования, баз данных и виртуализации, включая Veeam, VMware, Hyper-V, SQL Server, Oracle и PostgreSQL — в подготовке к шифрованию.

Развёртывание вымогателя

Нагрузка Spirals была развёрнута через PsExec с правами SYSTEM под именем файла bitsadmin.exe — намеренно имитирующего легитимную утилиту Windows, связанную со службой BITS. Это потребовалось для маскировки в среде жертвы.

Spirals — семейство вымогателей, написанное на Rust и использующее шифрование AES-128, защищённое публичным ключом ECDH P-256. Для ускорения процесса шифрования файлов размером более 5 МБ применяется прерывистое шифрование (intermittent encryption).

На диске C:\ оставляется файл RECOVERY_SECTION.log с инструкциями по переговорам. Жертвам угрожают публикацией похищенных данных в течение шести дней при отказе от оплаты.

Что известно о группировке?

Несмотря на наличие портала вымогательства, Symantec зафиксировала Spirals лишь в одном случае. Пока неясно, предназначен ли новый вариант для широкого применения в киберпреступной среде или был создан специально под эту атаку.

Команда Symantec Threat Hunter Team опубликовала сетевые индикаторы и хеши файлов, связанных с задокументированной атакой Spirals, для помощи в выстраивании защиты.

Leave a Reply

Your email address will not be published. Required fields are marked *