Бесплатно Экспресс-аудит сайта:

24.09.2021

Операторы вымогателя Hello использовали методы китайских APT-группировок

Команда исследователей в области кибербезопасности из компании eSentire рассказала подробности о загадочной кибератаке, в ходе которой использовались сложные методы установки относительно простой программы-вымогателя.

Вредоносная кампания была обнаружена, когда киберпреступники попытались осуществить атаку с помощью программы-вымогателя на неназванную организацию по тестированию безопасности продуктов. Атака была обнаружена и остановлена ​​до того, как стала успешной, но предоставила исследователям из eSentire достаточно информации для анализа используемых тактик, методов и процедур.

Использованные в данной вымогательской кампании методы имели сходство с методами китайской киберпреступной группировки APT27 (также известной как Emissary Panda). По словам экспертов, киберпреступники могли загрузить простое вымогательское ПО Hello в IT-среду жертву и таким образом отвлечь ИБ-экспертов от своих истинных мотивов — кибершпионажа.

Хакеры использовали уязвимости в Microsoft SharePoint и инструмент для удаленного доступа China Chopper, выполняющий роль бэкдора на скомпрометированных системах. Web-оболочка China Chopper часто используется китайскими APT-группировками и злоумышленниками.

Преступники также использовали Mimikatz для похищения паролей, повышения привилегий, попытки отключить защитные решения и выполнения PowerShell-команд с помощью техники маскарадинга, маскируясь под легитимное решение «Антивирус Касперского».

Применяя тактику киберпреступных группировок, злоумышленники предположительно намеревались увести расследование по ложному следу.

Вымогательское ПО Hello шифрует файлы c добавлением расширения .hello и оставляет записку с требованием выкупа. Программа-вымогатель Hello является довольно простой по стандартам самых известных программ-вымогателей в 2021 году, поскольку группировка не угрожает жертвам утечкой данных и не имеет сайта утечек данных для публикации похищенной информации. Кроме того, группировка не работает по бизнес-модели «вымогательское-ПО-как-услуга», как многие из наиболее распространенных на сегодня вариантов вымогателей.