Экспертами был обнаружен новый вирус-шифровальщик, получивший имя VHD. На первый взгляд VHD имеет стандартный функционал шифровальщика-вымогателя. Он сканирует все подключенные к компьютеру жертвы диски, шифрует файлы, удаляет все папки System Volume Information. Кроме того, вредонос умеет останавливать процессы, которые потенциально могут защищать важные файлы от модификации, а также Microsoft Exchange и Microsoft SQL Server.

Исследовав два инцидента, в которых фигурировал вымогатель VHD, эксперты пришли к выводу, что механизмы доставки малвари на машину жертвы скорее характерны для сложных целевых атак.

Так, в первом инциденте внимание специалистов привлек вредоносный код, который отвечал за распространение VHD внутри сети жертвы. У шифровальщика был доступ к спискам IP-адресов компьютеров пострадавших, а также набор учетных данных от записей с правами администратора. Эти данные использовались для брутфорс-атак на сервис SMB. Если вредоносу удавалось успешно подключиться через протокол SMB к сетевой папке другого компьютера, он копировал себя и исполнялся, шифруя информацию и там.

По мнению специалистов, такая схема действий не слишком характерна для обычных шифровальщиков. Она подразумевает как минимум предварительную разведку инфраструктуры жертвы, а это характерно скорее для APT-кампаний.

Во время изучения второго инцидента эксперты смогли восстановить всю цепочку заражения, которая выглядела примерно так: злоумышленники получили доступ к системе жертвы, проэксплуатировав уязвимый VPN-шлюз → получили права администратора на скомпрометированной машине → установили бэкдор → захватили контроль над сервером Active Directory → заразили все компьютеры сети шифровальщиком VHD при помощи написанного под эту задачу загрузчика. На проведение успешной атаки злоумышленникам потребовалось всего около 10 часов.

Дальнейший анализ применяемых злоумышленниками инструментов показал, что использованный бэкдор — это часть мультиплатформенного фреймворка MATA (также известный как Dacls). Исходя из этого, был сделан вывод, что VHD — это очередной инструмент северокорейской хакерской группировки Lazarus.

Для защиты информации эксперты рекомендуют в обязательном порядке делать резервное копирование важных данных, пользоваться антивирусами с актуальной базой и своевременно устанавливать обновления операционной системы.

Резервирование информации должно выполняться регулярно и в автоматическом режиме без привлечения пользователей и администраторов. Бекапы лучше всего хранить одновременно в нескольких местах и, как минимум, одну резервную копию лучше всего хранить в облачном хранилище.

Сервис облачного резервирования BACKUPRENT поможет вам правильно организовать процесс резервирования данных, строго следуя Правилу 3-2-1 и разместит бакапы в надежном специализированном облачном хранилище.

Мы уже выделили для вас 500 Гб в облачном хранилище на пробный бесплатный 30-дневный период. Подайте заявку на пробный доступ прямо сейчас и защитите критически важные данные вашей компании от шифровальщиков.

Помните, что в случае выполнения условий вымогателей и оплате выкупа за расшифровку данных, вы финансируете киберпреступность и ее развитие!