Następcy Hive Ransomware – Hunters International wkracza na scenę
Piotr R
10 listopada 2023
W styczniu 2023 r. FBI współpracowało z organami ścigania w Niemczech i Holandii, aby pomyślnie zlikwidować jedną z najbardziej znanych grup zajmujących się oprogramowaniem ransomware, znaną jako Hive. Od czerwca 2021 r. kolektyw zajmujący się oprogramowaniem ransomware Hive zaatakował ponad 1500 ofiar na całym świecie, wyłudzając okup o wartości ponad 100 milionów dolarów. Ich ofiarami były szpitale, okręgi szkolne, instytucje finansowe i różne inne organizacje, a cyberprzestępcy czasami ujawniali skradzione dane.
Zlikwidowanie HIVE Ransomware i powstanie Hunters International – zginął król, niech żyje król
Zlikwidowanie tej grupy cyberprzestępczej było wynikiem siedmiomiesięcznej tajnej operacji, podczas której FBI przeniknęło do sieci Hive. FBI wykorzystało ten dostęp do dostarczenia kluczy deszyfrujących ponad 300 ofiarom, uniemożliwiając zapłacenie okupu o wartości około 130 milionów dolarów. Co więcej, wcześniejszym ofiarom Hive rozdano dodatkowe 1000 kluczy deszyfrujących. Oficjalne raporty wskazują, że nie dokonano żadnych aresztowań, ale infrastruktura grupy została całkowicie zniszczona. Wynik ten nie jest nieoczekiwany, ponieważ ugrupowania zagrażające często działają z bezpiecznych przystani w krajach, które nie współpracują ze światowymi inicjatywami w zakresie egzekwowania prawa. Co więc stanie się z taką grupą po otrzymaniu tak wyniszczającego ciosu?
Grupy oferujące oprogramowanie ransomware jako usługę, wzorowane na gospodarce gig, składają się z luźno zorganizowanych osób. Każdy może podejmować indywidualne decyzje dotyczące swojej przyszłości, co prowadzi do połączenia rebrandingu, rozwiązania i przeniesienia członków grupy.
Po przejęciu infrastruktury grupy ransomware pojawia się kilka typowych opcji, z których zazwyczaj korzystają hakerzy:
- Kontynuacja działalności: niektóre grupy oprogramowania ransomware, nawet przy zakłóconej infrastrukturze, utrzymują się, korzystając z zasobów zapasowych lub alternatywnych kanałów komunikacji w celu utrzymania swojej działalności.
- Rebranding i ewolucja: inni decydują się na rebranding poprzez zmianę nazwy, taktyki i technik swojej grupy.
- Rozwiązanie grupy: niektóre grupy oprogramowania ransomware rozwiązują się i rozpraszają członków, aby uniknąć kontroli organów ścigania lub po prostu się ukryć.
- Sprzedaż usług: w niektórych przypadkach ci operatorzy, którzy są właścicielami i rozwijają kod oprogramowania ransomware oraz znaczną infrastrukturę, mogą zdecydować się na sprzedaż pozostałości swojej działalności przestępczej innej ambitnej grupie, przekazując swoje narzędzia i know-how w celu kontynuowania działań cyberprzestępczych. Daje to nowym podmiotom możliwość wejścia na rynek oprogramowania ransomware z gotowym przedsiębiorstwem przestępczym.
Z analizy zespołu Bitdefender wynika, że kierownictwo grupy Hive podjęło strategiczną decyzję o zaprzestaniu działalności i przeniesieniu pozostałych aktywów do innej grupy, Hunters International. W tym raporcie przedstawiamy dogłębną analizę oprogramowania ransomware Hunters International, którą przygotował zespół Bitdefender.
Hunters International: rebranding czy nowe zagrożenie?
20 października badacz bezpieczeństwa @rivitna2 jako pierwszy wykrył podobieństwa w kodzie między próbkami ransomware Hunters International i Hive. @BushidoToken również znalazł wiele nakładających się podobieństw kodu, zgłaszając co najmniej 60% dopasowania między dwoma zestawami kodu. Początkowy konsensus w branży zabezpieczeń był taki, że Hunters International to zmieniona marka wersji Hive, co jest praktyką często obserwowaną wśród cyberprzestępców po znaczących zakłóceniach.
W niecodziennym oświadczeniu, które jest jak dotąd jedynym komunikatem grupy, Hunters International odniosło się do tych spekulacji. Oświadczyli, że zamiast być iteracją Hive pod zmienioną marką, są niezależną grupą zajmującą się oprogramowaniem ransomware, która nabyła kod źródłowy i infrastrukturę od Hive. Hunters International twierdziła, że skupia się głównie na eksfiltracji danych, a nie na ich szyfrowaniu. Takie podejście doprowadziło ich do zdobycia sprawdzonego kodu ransomware od grupy, której niedawno dotyczył atak, co stanowiło dla nich dogodny moment, aby to zrobić.
Ta grupa oprogramowania ransomware wydaje się działać oportunistycznie i nie skupiać się konkretnie na regionach ani branżach. Jak dotąd ofiary zidentyfikowano w Stanach Zjednoczonych, Wielkiej Brytanii, Niemczech, a nawet w Namibii.
Analizując kod, Bitdefender zaobserwował również zachowania powszechnie kojarzone z przejmowaniem kodu od innych programistów, takie jak dodanie logowania. Dlatego możemy powiedzieć, że inni badacze bezpieczeństwa również odkryli, że ten kod jest oparty na tym, czego wcześniej używała grupa Hive.
Odbudowa infrastruktury wymaga znacznego wysiłku i jest to etap, w którym wiele podmiotów cyberprzestępczych zazwyczaj rozważa sprzedaż swoich narzędzi oraz czerpanie korzyści z nieuczciwie zdobytych zysków, które nie zostały skonfiskowane przez organy ścigania.
Analiza kodu ransomware Hunters International
Zazwyczaj, gdy nowa grupa przyjmuje kod ransomware od poprzedniej, to stara się go zoptymalizować i uprościć. Hakerzy z Hunters International zmniejszyli liczbę parametrów wiersza poleceń HIVE, usprawnili proces przechowywania kluczy szyfrujących i sprawili, że złośliwe oprogramowanie było mniej szczegółowe w porównaniu do wcześniejszych wersji.
Przeanalizowana przez zespół Bitdefender próbka ransomware jest napisana w języku Rust. Ten rozwój nie jest nieoczekiwany, biorąc pod uwagę, że Hive już w przeszłości przeszedł na Rust z C i Go. Rust zyskuje przychylność operatorów oprogramowania ransomware ze względu na jego względną odporność na inżynierię wsteczną, przeprowadzaną przez badaczy bezpieczeństwa, solidną kontrolę nad zasobami niskiego poziomu, doskonałą obsługę równoległości (kluczową dla szybkiego szyfrowania plików) i szeroki wachlarz bibliotek kryptograficznych.
Do wszystkich zaszyfrowanych plików automatycznie dodawane jest rozszerzenie .locked, chyba że zostanie użyty specjalny parametr w celu pominięcia rozszerzenia (więcej szczegółów w następnej sekcji). Przestępcy nie określają konkretnej metody płatności ani dokładnej kwoty okupu. Zamiast tego kierują swoje ofiary do portalu czatu, do którego można wejść wyłącznie po podaniu prawidłowych danych logowania, ponieważ są one zawarte w żądaniu okupu.
Szyfrowanie
Firma Hive przyjęła wcześniej unikalne podejście do szyfrowania. Zamiast osadzać zaszyfrowany klucz w każdym zaszyfrowanym pliku, wygenerował dwa zestawy kluczy w pamięci, użył ich do szyfrowania plików, a następnie zaszyfrował i zapisał oba zestawy w katalogu głównym zaszyfrowanego dysku, z rozszerzeniem pliku key.
Podsumowanie TL;DR: poprzednia wersja przechowywała klucz deszyfrujący w oddzielnym pliku, podczas gdy ta wersja osadza go w zaszyfrowanych plikach. Jest to prostsze i bardziej rozpowszechnione podejście w branży oprogramowania ransomware.
Pełne wyjaśnienie: wygląda na to, że w tym nowym wariancie hakerzy powrócili do bardziej powszechnej i prostszej praktyki polegającej na dołączaniu klucza do zaszyfrowanego pliku. Ta „nowa” rodzina ransomware wykorzystuje kombinację ChaCha20-Poly1305 do szyfrowania plików i RSA OAEP do szyfrowania kluczy. To szyfrowanie RSA wykorzystuje specyficzną metodę zwaną PKCS1 i SHA3-512 jako algorytm mieszający. Materiał do generowania klucza jest teraz osadzony bezpośrednio w zaszyfrowanych plikach (choć nadal jest zaszyfrowany za pomocą RSA). Materiał ten jest odszyfrowywany przy użyciu klucza prywatnego RSA, a następnie wykorzystywany do generowania klucza Chacha. ChaCha20 to symetryczny mechanizm szyfrowania – ten sam klucz służy zarówno do szyfrowania, jak i deszyfrowania.
W swoim oświadczeniu dotyczącym nabycia kodu od grupy Hive firma Hunters International stwierdziła, że „Znalazła wiele błędów, które w niektórych przypadkach powodowały brak możliwości odszyfrowania”. Interpretujemy to stwierdzenie jako odnoszące się do unikalnego podejścia do szyfrowania, a jego rozwiązaniem jest przejście w stronę bardziej konwencjonalnej praktyki osadzania zaszyfrowanego klucza w każdym zaszyfrowanym pliku.
Warto wspomnieć, że podczas analizy kodu Bitdefender odkrył pewne niefunkcjonalne elementy i wewnętrzne błędy, ale postanowił ich nie ujawniać ze względów bezpieczeństwa. Zespół Bitdefender przewiduje, że wkrótce zostaną wykryte ulepszone wersje tego oprogramowania ransomware, ponieważ wygląda na to, że prace nad nim cały czas trwają.
Argumenty wiersza poleceń
Oprogramowanie ransomware Hive wykorzystywało wcześniej dużą listę argumentów wiersza poleceń. W wersji, z którego korzysta Hunters International lista została uproszczona do zaledwie pięciu:
Parametr: -c
Objaśnienie: określa nazwę użytkownika i hasło do strony czatu umożliwiającej kontakt z grupą Hunters International.
Przykład: -c hello:world
Parametr: -a / -attach / –attach
Objaśnienie: aktywuje rejestrowanie.
Przykład: -załącz
Parametr: -A / -no-agressive / –no-agressive
Objaśnienie: dezaktywuje tryb agresywny (brak prób usuwania kopii zapasowych lub uniemożliwiania odzyskiwania).
Przykład: -nie-agresywny
Parametr: -E / -no-extension / –no-extension
Objaśnienie: kontroluje oprogramowanie ransomware, aby nie dołączało żadnych rozszerzeń do zaszyfrowanych plików.
Przykład: -no-extension
Parametr: -m / -min-rozmiar / –min-rozmiar
Objaśnienie: ustawia minimalny rozmiar pliku do szyfrowania (w bajtach).
Przykład: -m 1024
Dodatkowo została dodana możliwość podania ścieżkę do pliku lub folderu w celu zaszyfrowania. W wersji Hive było to obsługiwane za pomocą parametru o nazwie „ -explicit-only ”. W tej wersji jest to argument pozycyjny (nienazwany).
Wyłączenia
Chociaż możliwe jest podanie wyraźnej ścieżki do pliku lub folderu w celu zaszyfrowania, jest to przeznaczone głównie do celów testowania i debugowania, a nie jako standardowy tryb działania. Ransomware ma na celu szyfrowanie wszystkich plików w systemie docelowym, z wyjątkiem tych, które spełniają określone warunki wykluczenia. Te wyłączenia i zasady obejmują:
Zapobieganie tworzeniu kopii zapasowych i odzyskiwaniu danych
Ransomware zawiera agresywny tryb, którego celem jest wyłączenie funkcji tworzenia kopii zapasowych i przywracania poprzez wykonanie szeregu poleceń oraz próbę zakończenia określonych usług i procesów. Działania te mają na celu uniemożliwienie odzyskania danych i zablokowanie operacji tworzenia kopii zapasowych.
Polecenia zapobiegające odzyskiwaniu danych i tworzeniu kopii zapasowych:
- exe usuń kopię w tle
- exe usuń cienie /all /quiet
- exe usuń katalog-cichy
- exe usuń systemstatebackup -keepVersions:3
- exe usuń kopię zapasową stanu systemu
- exe /set {domyślnie} włączone odzyskiwanie
- exe /set {default} bootstatuspolicy ignoruje wszystkie błędy
Lista zakończenia świadczenia usług:
mepocs, memtas, veeam, svc$, kopia zapasowa, sql, vss, msexchange, vmm, vmwp
Lista zakończenia procesów:
encsvc, thebat, mydesktopqos, xfssvccon, firefox, infopath, winword, steam, synctime, notatnik, ocomm, onenote, mspub, Thunderbird, agntsvc, Excel, powerpnt, Outlook, wordpad, dbeng50, isqlplussvc, sqbcoreservice, oracle, ocautoupds, dbsnmp, msaccess, tbirdconfig, ocssd, mydesktopservice, visio
W jaki sposób ochronić się przed ransomware?
Należy pamiętać, że Shadow Copy (Volume Shadow Copy Service, VSS) jest częstym celem każdej profesjonalnej grupy zajmującej się oprogramowaniem ransomware, która rutynowo wyłącza lub uszkadza je w ramach swoich standardowych procedur. Aby ograniczyć ryzyko związane z atakami ransomware, Bitdefender zaleca:
- Wdrożenie rozwiązania łagodzącego oprogramowanie ransomware: rozważ zastosowanie rozwiązań łagodzących oprogramowanie ransomware, które nie opierają się wyłącznie na technologii Shadow Copy. Rozwiązania te powinny obejmować solidne środki bezpieczeństwa, które będą w stanie chronić przed atakami oprogramowania ransomware i odzyskać siły po nich.
- Zapewnij bezpieczne kopie zapasowe: upewnij się, że systemy kopii zapasowych są zabezpieczone nie tylko przed klęskami żywiołowymi i błędami ludzkimi, ale także przed złośliwymi podmiotami z podwyższonymi uprawnieniami. Korzystanie z magazynu offline do przechowywania kopii zapasowych może dodać warstwę ochrony przed atakami oprogramowania ransomware, o ile proces odzyskiwania pozostaje skuteczny.
- Oceniaj środki kontroli bezpieczeństwa: regularnie oceniaj i testuj skuteczność środków kontroli bezpieczeństwa, aby upewnić się, że nie są to tylko zabezpieczenia teoretyczne, ale są praktyczne i zdolne do obrony przed pojawiającymi się zagrożeniami.
- Chociaż w tej sekcji opisano działania ransomware związane z wyłączaniem kopii zapasowych i blokowaniem funkcji przywracania, warto zauważyć, że ta grupa ransomware koncentruje się przede wszystkim na eksfiltracji danych, a nie szyfrowaniu, jak wynika z ich oświadczenia. W scenariuszach podwójnego wymuszenia celem jest nie tylko szyfrowanie, ale także kradzież danych. Nawet funkcjonalna kopia zapasowa może nie w pełni rozwiązać ten problem, ponieważ skradzione dane pozostają problemem, co podkreśla znaczenie podejścia do bezpieczeństwa zapewniającego dogłębną obronę.
Wnioski i rekomendacje
Chociaż Hive był jedną z najniebezpieczniejszych grup zajmujących się oprogramowaniem ransomware, najprawdopodobniej Hunters International okaże się równie, a może nawet bardziej groźny. Chociaż liczba ofiar pozostaje stosunkowo niska (w chwili pisania tego tekstu zaledwie pięć ofiar), grupa ta jawi się jako nowy podmiot zagrażający, zaczynający od dojrzałego zestawu narzędzi i wyglądający na chętnego do pokazania swoich możliwości.
Reputacja odgrywa kluczową rolę w modelu oprogramowania ransomware jako usługi, a po zakłóceniach i trwających od miesięcy naruszeniach prawa przez grupę ransomware Hive, Hunters International stoi przed zadaniem wykazania swoich kompetencji, zanim będzie w stanie przyciągnąć podmioty stowarzyszone dużego kalibru.
Bitdefender obserwuje działalność Hunters International
GravityZone identyfikuje tę rodzinę ransomware jako Trojan.Ransom.Hunters. Niektóre z tych próbek mogą również wyzwalać wykrywanie jako Hive, biorąc pod uwagę podobieństwa ich kodu. Oprócz sygnatur wykrywania Bitdefender wykorzystuje wykrywanie oprogramowania ransomware poprzez analizę zachowania, używając modułów takich jak Ochrona procesów. Więcej informacji na temat naszego wielowarstwowego podejścia do bezpieczeństwa znajdziesz w Bitdefender TechZone.
Klienci Bitdefender Threat Intelligence mogą uzyskać dostęp do wzbogaconych, kontekstowych informacji na temat tego ataku. ThreatID BDsezklncw w portalu Bitdefender IntelliZone zawiera dodatkowe TTP i wizualizacje. Aby uzyskać więcej informacji na temat rozwiązania Bitdefender Threat Intelligence, odwiedź naszą stronę produktu. Poniżej znajdują się znane wskaźniki kompromisu (IOC) dla łowców zagrożeń.
Na koniec należy pamiętać, że ta grupa, podobnie jak wiele innych grup oferujących oprogramowanie ransomware jako usługę (RaaS), wydaje się przedkładać eksfiltrację danych nad ich szyfrowanie. Oprócz wdrożenia agenta Bitdefender w Twojej sieci wraz z czujnikami zdolnymi do wykrywania ruchu bocznego i działań rozpoznawczych zespół Bitdefender MDR zaleca następujące kroki, aby zmniejszyć ryzyko wycieku danych:
- Szyfrowanie danych: wdrażaj solidne protokoły szyfrowania wrażliwych danych, aby uczynić je nieczytelnymi, jeśli uzyskasz do nich dostęp bez odpowiedniej autoryzacji.
- Kontrola dostępu: egzekwuj rygorystyczne kontrole dostępu, ograniczając dostęp do wrażliwych danych i zapewniając regularne przeglądanie i aktualizację uprawnień.
- Szkolenie i zwiększanie świadomości użytkowników: edukuj pracowników na temat zagrożeń związanych z wyciekiem danych i przekazuj najlepsze praktyki zapobiegania, w tym rozpoznawanie prób phishingu i zabezpieczanie danych uwierzytelniających.
- Segmentacja sieci: segmentacja sieci w celu ograniczenia nieautoryzowanego ruchu między systemami, co utrudnia potencjalnym intruzom poruszanie się w poprzek sieci.
- Regularne audyty i oceny: przeprowadzaj rutynowe audyty i oceny bezpieczeństwa w celu zidentyfikowania luk w zabezpieczeniach i słabych punktów, które złośliwi aktorzy mogliby wykorzystać do wydobywania danych.
Łącząc te strategie z Bitdefender XDR, organizacje mogą znacznie zmniejszyć ryzyko wycieku danych.
Autor
Piotr R
Artykuły które mogą Ci się spodobać
Bezpieczeństwo w Internecie • Poradniki
Antywirus czy VPN – jaką ochronę wybrać?
Piotr R
28 listopada 2024