ESET staví skupinu TeleBots za NotPetya

ESET identifikoval několik možností původu hrozby NotPetya, která minulý týden zasáhla svět byznysu. Díky šetřením provedeným společností byly nalezeny podobnosti mezi několika kampaněmi ukrajinské kyberzločinecké skupiny TeleBots a sadou nástrojů, které tato skupina používala v období od prosince 2016 do března 2017 v souvislosti s útokem Diskcoder.C. ( také známý jako Petya), který se konal 27. června a byl na mnoha místech nazýván NotPetya, aby se odlišil.

“Spolehlivým vodítkem jsou paralely, které jsme našli mezi útokem provedeným v prosinci 2016 proti finančním institucím a vývojem verze malwaru KillDisk pro Linux, kterou používají TeleBots. Tyto indikátory spolu s rostoucími útoky na počítačové systémy na Ukrajině nás přiměly zaměřit naši pozornost na TeleBoty.“ říká Anton Cherepanov, senior výzkumník malwaru ve společnosti ESET.

Způsob fungování TeleBots spočíval v použití KillDisk k přepisování souborů se specifickými příponami na discích obětí. Tímto způsobem nebylo výkupné hlavním cílem útočníků, protože soubory nebyly zašifrovány, ale byly přepsány. Stejně tak následující útoky zahrnovaly šifrování souborů a byly začleněny další typičtější aspekty ransomwaru, jako jsou kontaktní údaje pro zaplacení výkupného, ​​ačkoli byly požadovány astronomické údaje (222 bitcoinů), což nás opět přimělo si myslet, že skutečný Cílem bylo způsobit škodu postiženým společnostem, spíše než získat ekonomické výhody.

Mezi lednem a březnem tohoto roku zločinci narušili zabezpečení společnosti zabývající se vývojem účetního softwaru na Ukrajině pomocí tunelů VPN a přístupu do vnitřních sítí různých finančních subjektů a odhalili arzenál nástrojů naprogramovaných v Pythonu. Při nejnovějších útocích zahájili své útoky pomocí legitimních nástrojů, jako jsou SysInternals PsExec a WMIC (Windows Management Instrumentation Command-line), aby se rozšířily po místní síti pomocí přihlašovacích údajů extrahovaných z infikovaných počítačů. Bezpečnostní řešení ESET detekovala tento ransomware jako Win32/Filecoder.NKH a linuxový ransomware jako Python/Filecoder.R.

TeleBots poté 18. května 2017 rozšířili Win32/Filecoder.AESNI.C (také známý jako XData). Tento útok byl proveden především na Ukrajině prostřednictvím trojanizované aktualizace MEDoc, široce používaného účetního softwaru na Ukrajině mezi finančními institucemi a mezinárodní společnosti působící v dané zemi. Podle ESET LiveGrid malware umožňoval automatické boční pohyby v rámci lokální sítě postižených společností. I přesto, že ESET zveřejnil dešifrovací nástroj pro Win32/Filecoder.AESNI, dotčené subjekty události nevěnovaly velkou pozornost.

Nicméně 27. června nová hrozba podobná Petyi (Diskcoder.C) odhalila systémy tolika společností a kritickou infrastrukturu na Ukrajině. Tato hrozba zahrnovala schopnost nahradit MBR vlastním škodlivým kódem, funkcionalitou vypůjčenou z ransomwaru Win32/Diskcoder.Petya.

Malware NotPetya je také možné distribuovat stejným způsobem jako Win32/Filecoder.AESNI.C (také známý jako XData) pomocí lehké a upravené verze Mimikatz

Autorům Diskcoder.C se podařilo upravit MBR tak, že obnovení souborů nebylo možné (na rozdíl od původního ransomwaru Petya) a přestože byly poskytnuty informace o nutné platbě, nyní víme, že uvedená data nebyla byly k ničemu. Jakmile je malware spuštěn, pokusí se distribuovat pomocí exploitu EternalBlue, přičemž využívá také exploitu DoublePulsar. Zajímavostí je, že jde o metodu podobnou té, kterou používá WannaCry, i když v tomto případě nebyla jediná, kterou útočníci použili.

Malware NotPetya je také možné distribuovat stejným způsobem jako Win32/Filecoder.AESNI.C (také známý jako XData) pomocí upravené odlehčené verze Mimikatz k získání přihlašovacích údajů a šíření malwaru po místní síti pomocí SysInternals PsExec. Kromě toho zločinci také použili třetí způsob distribuce malwaru pomocí mechanismu WMI. To vše proto, aby se jim podařilo infikovat největší počet systémů v síti.

Všechny tři metody byly použity k distribuci malwaru NotPetya v podnikových sítích dotčených společností, ale na rozdíl od WannaCry v tomto případě Diskcoder.C použil exploit EternalBlue pouze proti počítačům ve stejné místní síti a ne k šíření přes internet. nové zranitelné systémy. Spojením TeleBotů s touto činností je jasné, proč byly infikovány stroje v jiných zemích. Aby toho bylo dosaženo, laboratoř ESET se zaměřila na VPN připojení mezi uživateli softwaru MEDoc, jejich zákazníky a jejich dodavateli. Kromě toho byly pozorovány interní systémy zasílání zpráv a výměny dokumentů společnosti MEDoc, pomocí kterých mohli zločinci posílat falešné zprávy obětem. Útočníci by také mohli získat přístup k aktualizačnímu serveru, který nabízí legitimní software. Pomocí tohoto přístupu zločinci posílali škodlivé aktualizace, aniž by museli interagovat s uživateli.

“Díky této schopnosti proniknout do infrastruktury MEDocs a jejích klientů tak hluboko, měli zločinci dostatek zdrojů na distribuci Diskcoder.C. Přestože utrpěly určité vedlejší škody, útoky prokázaly značnou schopnost akce díky zdrojům, které mají k dispozici. Dodatečné schopnosti exploitu EternalBlue navíc přidaly jedinečný rozměr, se kterým se bude muset komunita odborníků na kybernetickou bezpečnost od této chvíle vypořádat.“pokračuje expert ESET Anton Cherepanov.