Lazarus eksperymentuje z nowym ransomware

Ugrupowanie Lazarus zawsze wyróżnia się stosowaniem metod typowych dla ataków APT, lecz specjalizuje się w cyberprzestępczości finansowej. Nasi eksperci niedawno wykryli nowe, nieznane wcześniej szkodliwe oprogramowanie VHD, które jest od niedawna testowane przez członków Lazarusa.

Pod względem funkcjonalności VHD jest dość standardowym narzędziem ransomware. Przedostaje się on na dyski podłączone do komputera ofiar, szyfruje pliki i usuwa wszystkie foldery System Volume Information (sabotując w ten sposób próby użycia narzędzia przywracania systemu Windows). Co więcej, może on wstrzymać działanie procesów, które mogą potencjalnie chronić ważne pliki przed modyfikacjami (np. Microsoft Exchange lub SQL Server).

Jednak najciekawszy jest jednak sposób przedostawania się zagrożenia VHD na komputery docelowe: mechanizm dostarczania go bardzo przypomina ataki APT. Nasi eksperci przeanalizowali niedawno sposób działania atakujących w kilku przypadkach z udziałem VHD.

Ruch boczny w sieci ofiary

W pierwszym incydencie uwagę naszych ekspertów przyciągnął szkodliwy kod odpowiedzialny za rozprzestrzenianie VHD w atakowanej sieci. Okazało się, że ransomware miał do swojej dyspozycji listę adresów IP komputerów ofiar, jak również dane logowania do kont z uprawnieniami administratora. Dane te były używane do realizowania ataków siłowych na usługę SMB. Jeśli szkodliwy program połączył się za pomocą protokołu SMB z folderem sieciowym innego komputera, sam się kopiował i uruchamiał, co skutkowało szyfrowaniem danego komputera.

Takie zachowanie nie jest typowe dla ransomware atakującego masowo. Taki sposób działania sugeruje, że infrastruktura ofiary jest poddawana wcześniejszemu rekonesansowi, co jest bardziej charakterystyczne dla kampanii APT.

Łańcuch infekcji

Gdy eksperci z naszego zespołu Global Emergency Response Team napotkali wspomniany ransomware kolejny raz podczas przeprowadzania analizy, udało im się prześledzić cały łańcuch infekcji. Cyberprzestępcom udało się:

1. zdobyć dostęp do systemów ofiar, wykorzystując lukę w bramie VPN,
2. zdobyć na zhakowanych komputerach uprawnienia administratora,
3. zainstalować backdoora,
4. przejąć kontrolę nad serwerem Active Directory,
5. zainfekować wszystkie komputery w sieci za pomocą ransomware VHD, wykorzystując w tym celu specjalnie utworzone narzędzie.

Dalsza analiza użytych przez cyberprzestępców narzędzi wykazała, że backdoor był elementem wieloplatformowej architektury MATA (nazywanej przez niektórych naszych kolegów „Dacls”). Na tej podstawie doszliśmy do wniosku, że jest to kolejne narzędzie ugrupowania Lazarus.

Szczegółowe analizy techniczne opisywanych narzędzi, a także oznaki włamania, znajdują się w naszym artykule w serwisie SecureList.

Jak ochronić swoją firmę

Autorzy ransomware VHD znacząco podnieśli poprzeczkę, jeśli chodzi o infekowanie komputerów firmowych za pomocą narzędzia szyfrującego. Szkodliwy program nie jest jednak ogólnodostępny na forach hakerskich; został on przygotowany specjalnie pod kątem ataków ukierunkowanych. Techniki użyte w celu przeniknięcia do infrastruktury ofiary i rozprzestrzenienia w sieci przypominają wyrafinowane ataki APT.

To stopniowe zaciemnianie granic pomiędzy narzędziami używanymi do cyberprzestępstw o charakterze finansowym i ataków APT dowodzi, że korzystanie z bardziej zaawansowanych technologii zabezpieczających muszą rozważyć nawet mniejsze firmy. Nasza firma udostępniła niedawno zintegrowane rozwiązanie oferujące funkcjonalność zarówno Endpoint Protection Platform (EPP), jak i Endpoint Detection and Response (EDR). Więcej informacji o rozwiązaniu znajduje się tutaj.