Анализ WastedLocker — целевого шифровальщика-вымогателя

[KL FC Bot]

Последнюю неделю июля 2020 все технические новостные сайты пестрели новостями про американскую компанию Garmin. Ряд сервисов компании, включая возможность синхронизации устройств с облаками и инструменты для пилотов, были выведены из строя. Точной информации было крайне мало — все строили догадки и выдвигали теории, многие из которых не имели под собой никаких оснований. Поэтому мы решили дождаться хоть какой-то конкретики.

Официальное заявление компании подтвердило, что причиной недоступности сервисов стала кибератака, в ходе которой были зашифрованы некоторые внутренние системы Garmin. По имеющимся на сегодняшний день данным, злоумышленники использовали шифровальщик-вымогатель WastedLocker. Наши эксперты провели подробный технический анализ этого зловреда. Вот их основные находки.

Шифровальщик WastedLocker

Это пример так называемого целевого шифровальщика, то есть зловреда, модифицированного для атаки на конкретную компанию. В записке о выкупе атакующие обращаются к конкретной жертве, да и все зашифрованные файлы получают дополнительное расширение .garminwasted.

О том же говорит и использованная злоумышленниками криптографическая схема. Файлы шифровались при помощи комбинации алгоритмов AES и RSA, которые применяются создателями вымогательского ПО в паре достаточно часто. Однако публичный ключ RSA для шифрования в WastedLocker применяется один, а не генерируется уникальный для каждого заражения. То есть если бы та же модификация шифровальщика использовалась против множества целей, то программа для расшифровки данных была бы универсальной, поскольку приватный ключ также должен быть один.

Кроме того, в этом шифровальщике-вымогателе реализованы следующие любопытные особенности:

• Троян допускает приоритизацию шифрования данных — злоумышленники могут указать конкретную директорию, файлы в которой будут зашифрованы в первую очередь. Это сделано, чтобы максимизировать ущерб в том случае, если защитные механизмы остановят шифрование данных до его завершения.
• WastedLocker поддерживает шифрование файлов на удаленных сетевых ресурсах.
• Шифровальщик проверяет привилегии, с которыми он запущен, и если находит их недостаточными, то может повысить их, используя метод подмены DLL.

Подробный технический анализ шифровальщика можно найти в посте «WastedLocker: technical analysis» на блоге Securelist.

Что там у Garmin

Согласно обновленному заявлению компании, сервисы компании вновь работают, хотя синхронизация данных может происходить с некоторыми задержками и все еще ограничена в отдельных случаях. Что, в принципе, объяснимо: устройства, которые несколько дней не могли синхронизироваться со своими облачными сервисами, теперь разом стали стучаться на серверы компании, вызывая повышенную нагрузку.

По утверждению представителей компании, они не видят свидетельств того, что в ходе этого инцидента кто-либо получил несанкционированный доступ к данным пользователей.

Как обеспечить защиту от подобных атак

Это совершенно определенно не последняя попытка целевой атаки на компанию с использованием шифровальщиков. И не первая. Так что рекомендации по защите от подобных атак у нас более-менее стандартные:

• Не забывайте своевременно обновлять программное обеспечение, и в первую очередь операционную систему — большинство троянов используют уже известные уязвимости.
• Откажитесь от открытого доступа к системам компании через RDP, в крайнем случае подключайтесь через VPN.
• Обучайте сотрудников основам кибербезопасности. Чаще всего заражение корпоративных сетей троянами-шифровальщиками происходит из-за того, что злоумышленники успешно обманывают кого-то из сотрудников, используя методы социальной инженерии.
• Применяйте современные защитные решения, в которых используются продвинутые технологии борьбы с шифровальщиками-вымогателями. Наши продукты успешно выявляют WastedLocker и препятствуют заражению.

View the full article