распространенного инструмента двойного назначения – PsExec.
Злоумышленники пользовались платежным сайтом в даркнете. Жертва получала сообщение с требованием выкупа и информацией о расшифровке файлов, сгенерированное программой-вымогателем (рис. 1.1).
По данным Sophos, в 2016–2018 гг. злоумышленники заработали около $6 млн (источник: https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/SamSam-The-Almost-Six-Million-Dollar-Ransomware.pdf).
Рис. 1.1. Пример сообщения SamSam с требованием выкупа[1]
Кто стоит за программой-вымогателем SamSam?
28 ноября 2018 г. ФБР обнародовало акт, обвиняющий в международном распространении программы-вымогателя SamSam Фарамарза Шахи Саванди и Мохаммада Мехди Шаха Мансури.
Рис. 1.2. Фрагмент плаката ФБР о розыске
Оба подозреваемых из Ирана. После публикации обвинительного акта злоумышленникам удалось завершить свою криминальную деятельность – по крайней мере под именем SamSam.
Поскольку пример этих преступников показал, что атаки программ-вымогателей на корпорации могут быть очень прибыльными, стали появляться новые подобные группы. Одним из примеров стала программа-вымогатель BitPaymer.
Программа-вымогатель BitPaymer связана с Evil Corp – киберпреступной группировкой, которая, как считается, имеет российское происхождение. С этим штаммом программы-вымогателя появилась еще одна тенденция атак, управляемых человеком, – охота на крупную дичь.
Все началось в августе 2017 г., когда операторы BitPaymer успешно атаковали несколько больниц управления NHS Lanarkshire и потребовали астрономическую сумму выкупа в размере $230 000, или 53 биткойнов.
Чтобы получить начальный доступ к целевой сети, группа использовала свой давний инструмент – троян Dridex. Троян позволял злоумышленникам загружать PowerShell Empire – популярный фреймворк постэксплуатации, – чтобы перемещаться по сети и получать расширенные права доступа, в том числе с использованием Mimikatz, как делали операторы SamSam.
Преступники развертывали программу-вымогатель в масштабах предприятия, используя модификацию групповой политики, которая позволяла им отправлять на каждый хост скрипт для запуска экземпляра программы-вымогателя.
Злоумышленники общались с жертвами как по электронной почте, так и в онлайн-чатах.
Рис. 1.3. Пример сообщения BitPaymer с требованием выкупа[2]
В июне 2019 г. появилась новая программа-вымогатель DoppelPaymer, основанная на BitPaymer. Считается, что ею управляла дочерняя группа Evil Corp (источник: https://www.crowdstrike.com/blog/doppelpaymer-ransomware-and-dridex-2/).
Создатели программы-вымогателя BitPaymer
13 ноября 2019 г. ФБР обнародовало заключение, в котором виновными в управлении троянскими программами Dridex были названы Максим Викторович Якубец и Игорь Олегович Турашев.
Рис. 1.4. Фрагмент плаката ФБР о розыске
Максим