Международная коалиция правоохранительных органов, возглавляемая Национальным агентством по борьбе с преступностью (NCA) Великобритании, объявила во вторник, что раскрыла личность администратора и разработчика программы-вымогателя LockBit. По данным правоохранителей, им является 31-летний гражданин России, уроженец Воронежа Дмитрий Юрьевич Хорошев, известный под никами LockBit и LockBitSupp.

Источник изображения: TheDigitalArtist/Pixabay

«Сегодня мы делаем ещё один шаг вперёд и обвиняем человека, который, как мы утверждаем, разработал и реализовал эту вредоносную киберсхему, целью которой стали более 2000 жертв и украдено более $100 млн в виде платежей с помощью программ-вымогателей», — заявил генеральный прокурор США Меррик Б. Гарланд (Merrick B. Garland).

На сайте Минюста США объявлено о вознаграждении в $10 млн за информацию, которая поможет властям арестовать Хорошева. Ему предъявляется обвинение по 26 пунктам, вынесенное большим жюри присяжных округа Нью-Джерси (США). До этого, в феврале правоохранительными органами США, Европы, Австралии и Японии была проведена совместная операции «Хронос» (Operation Cronos), в результате которой была взломана часть ресурсов, принадлежащих хакерской группировке LockBit.

Как сообщает Минюст США, Хорошев предположительно выступал в качестве разработчика и администратора группы вымогателей LockBit с момента её создания примерно в сентябре 2019 года по май 2024 года. За этот период LockBit атаковала более 2500 жертв как минимум в 120 странах, включая 1800 жертв в США. Целями хакерской группировки были частные лица, малые предприятия, транснациональные корпорации, больницы, школы, некоммерческие организации, критически важная инфраструктура, а также государственные и правоохранительные органы. По данным Минюста США, Хорошев и его сообщники получили от своих жертв в качестве выкупа не менее $500 млн и нанесли миллиарды долларов ущерба.

Правительство США также объявило о санкциях против Хорошева, которыми запрещается кому-либо заключать с ним сделки, включая выплату выкупа. Нарушение санкций грозит крупными штрафами и судебным преследованием.

Киберпреступники эксплуатируют две опасные уязвимости программы удалённого доступа ConnectWise ScreenConnect для развёртывания вируса-вымогателя LockBit. Это свидетельствует, что ресурсы одноимённой хакерской группировки продолжают работать, хотя бы и частично.

Источник изображения: kalhh / pixabay.com

Эксперты по кибербезопасности в компаниях Huntress и Sophos накануне доложили, что зафиксировали атаки LockBit, производимые через уязвимости популярной программы удалённого доступа ConnectWise ScreenConnect. Атаки осуществляются через две уязвимости. Ошибка CVE-2024-1709 относится к уязвимостям обхода аутентификации и считается «неприлично простой» в эксплуатации — она активно используется с минувшего вторника, то есть с того момента, как ConnectWise выпустила закрывающее её обновление программы и призвала клиентов установить его. Вторая ошибка за номером CVE-2024-1708 позволяет удалённо передать вредоносный код на уязвимую систему.

Эксперты подчёркивают, что, во-первых, уязвимости ScreenConnect активно эксплуатируются киберпреступниками на практике; во-вторых, несмотря на проведённую правоохранительными органами нескольких стран операцию, часть ресурсов группировки LockBit продолжает работать. В начале недели правоохранительные органы нескольких стран доложили о проведении крупномасштабной операции, в результате которой были отключены 34 сервера в Европе, Великобритании и США, конфискованы более 200 криптовалютных кошельков, а также арестованы двое предполагаемых участников LockBit в Польше и на Украине.

Обнаружившие новую волну атак эксперты заявили, что не могут отнести её к деятельности непосредственно LockBit, но группировка имеет большой охват и разветвлённую партнёрскую сеть, которую невозможно быстро уничтожить даже в рамках крупномасштабной международной операции. В компании ConnectWise заявили, что сейчас массовое внедрение вируса-вымогателя через программу не наблюдается. Но, по данным некоммерческой организации Shadowserver Foundation, занимающейся анализом вредоносной интернет-активности, уязвимости программы продолжают эксплуатироваться — накануне угроза исходила от 643 IP-адресов, а уязвимыми оставались более 8200 серверов.

Boeing сообщила о кибератаке на своё подразделение по дистрибуции и продаже запчастей. В компании не сообщили, кто стоял за инцидентом, но об этом сообщил сам его предполагаемый виновник — хакерская группировка LockBit, ответственная за распространение одноимённого вируса-вымогателя.

Источник изображения: John McArthur / unsplash.com

«Нам известно о киберинциденте, затронувшем элементы нашего бизнеса по дистрибуции и продаже запчастей. <..> Мы уведомляем наших клиентов и поставщиков», — сообщил ресурсу The Register представитель Boeing. В компании добавили, что происшествие не повлияло на безопасность полётов; сейчас проводится расследование инцидента, а действия специалистов согласуются с властями. На момент написания материала раздел сайта Boeing, связанный с соответствующим подразделением «не работал в связи с техническими проблемами».

Источник изображения: twitter.com/vxunderground

В Boeing виновников кибератаки не назвали, но, похоже, хакеры сделали это сами: ответственность за инцидент взяла на себя группировка LockBit. Эксперты по кибербезопасности VX Underground в минувшие выходные опубликовали скриншот сайта LockBit — группировка включила компанию в список своих жертв и дала ей шесть дней на то, чтобы начать переговоры. В понедельник упоминание Boeing пропало с сайта LockBit, а представители группировки сообщили VX Underground, что переговоры начались. Официального пресс-релиза или уведомления Комиссии по ценным бумагам и биржам США (SEC) от компании пока не последовало.

По оценке Агентства кибербезопасности и защите инфраструктуры США (CISA), группировка LockBit в 2022 году была самым активным оператором вирусов-вымогателей. Это не просто «кучка ботаников в подвале», утверждает VX Underground, — в группировке действует строгая административная иерархия. Хакеры занимаются продвижением собственного бренда: в частности, платят блогерам за татуировки с логотипом LockBit; и не стесняются брать на себя ответственность за киберинциденты, хотя к их заявлениям рекомендуется относиться скептически. В период с начала 2020 года по середину 2023-го группировка «заработала», по некоторым оценкам, более $90 млн, а среди её жертв значатся TSMC и SpaceX.

Министерство юстиции США сообщило об аресте гражданина России Руслана Астамирова по обвинению в причастности к совершению атак программы-вымогателя LockBit на американские и иностранные компании. Согласно иску, как минимум с августа 2020 года по март 2023 года Астамиров вместе с другими участниками хакерской группы участвовал в развёртывании вредоносного ПО, требуя выкуп за разблокировку затронутых вирусом компьютерных систем.

Источник изображения: Towfiqu barbhuiya/unsplash.com

Сообщается, что Астамиров использовал различные адреса электронной почты, адреса интернет-протокола (IP) и учётные записи интернет-провайдеров для распространения программы-вымогателя LockBit и общения с пострадавшими. Согласно иску, как минимум в одном случае правоохранительным органам удалось отследить перевод части выкупа жертвой на адрес в виртуальной валюте, находящийся под контролем Астамирова.

Непосредственно Астамиров осуществил как минимум пять атак на компьютерные системы в Соединённых Штатах и за рубежом. Ему предъявлено обвинение в сговоре с целью совершения мошенничества с использованием электронных средств связи, а также в сговоре с целью умышленного повреждения защищённых компьютеров и передачи требований о выкупе. В случае признания виновным, Астамирову грозит максимальное наказание в виде 20 лет лишения свободы по первому обвинению и максимальное наказание в виде пяти лет лишения свободы по второму. Также по этим обвинениям предусмотрено наказание в виде максимального штрафа в размере $250 000 или в двойном размере прибыли или убытка от совершённого преступления, в зависимости от того, что больше.

«Астамиров является третьим ответчиком, которому прокуратурой Нью-Джерси предъявлено обвинение в глобальной кампании вымогателей LockBit, и вторым обвиняемым, которого задержали», — сообщил прокурор США Филип Р. Селлинджер (Philip R. Sellinger) в округе Нью-Джерси.

В пресс-релизе Минюста США также сообщается, что в настоящее время в Канаде находится под стражей в ожидании экстрадиции в США россиянин Михаил Матвеев, обвиняемый в причастности к развёртыванию программ-вымогателей LockBit, Babuk и Hive на компьютерах жертв в США и других странах.

Исследователи в сфере кибербезопасности обнаружили новую версию вируса-вымогателя LockBit, предназначенную для работы на macOS — это первый случай, когда крупная хакерская группировка решила вторгнуться в экосистему Apple.

Источник изображения: Pete Linforth / pixabay.com

LockBit — один из наиболее известных вирусов-вымогателей, фигурировавший в нескольких крупных инцидентах. Первым свидетельством того, что одноимённая хакерская группировка начала экспериментировать с платформой macOS, стала публикация экземпляра в репозитории MalwareHunterTeam от 15 апреля. Вскоре после этого исследователи ресурса vx-underground выяснили, что вариант для компьютеров Apple появился не позднее 11 ноября 2022 года.

Как оказалось, бить тревогу ещё рано: вирус пока не готов для полномасштабной атаки, и его появление следует воспринимать скорее как декларацию о намерениях хакерской группировки начать работу по Apple. В существующем варианте это скорее вредонос для Windows, грубо портированный на macOS. При его распаковке в коде обнаружены строки с артефактами Windows, в том числе ссылки на файлы autorun.inf и ntuser.dat.log, но уже есть и переменная с именем apple_config. Один из экспертов также описал значительную часть кода как написанную для Linux, а впоследствии портированную под macOS. В подписи к файлу оказалось обозначение «ad-hoc», которое в «боевой» версии вируса будет заменено на краденный идентификатор разработчика Apple.

Источник изображения: apple.com

Специализирующиеся на вирусах-вымогателях группировки до настоящего момента не разрабатывали вредоносного ПО под macOS — их целями были организации и частные компании, чьи инфраструктуры составляют преимущественно рабочие станции под Windows. Однако присутствие устройств Apple в корпоративной среде постепенно увеличивается: по данным на 2021 год, испытывающие потребность в планшетах предприятия всё чаще закупают iPad, iPhone отвоевали уже около 50 % всех смартфонов в корпоративной среде, а «среднее проникновение» компьютеров под macOS на предприятиях составило около 23 %, а двумя годами ранее этот показатель был 17 %.

В Apple предвидели такой вариант развития событий и приняли некоторые меры защиты системы. Системные файлы macOS доступны только для чтения — даже при наличии root-доступа вредонос их изменить не сможет. А система TCC (Transparency, Consent, Control) обеспечивает дополнительную защиту важнейших каталогов. Это значит, что без дополнительных средств вирус не сможет зашифровать важные для пользователя файлы — ему нужна будет уязвимость в macOS или явное подтверждение доступа от пользователя. Проблема в том, что эти средства защиты пока не проверялись в полномасштабных атаках, и если хакеры начнут работать в полную силу, у них есть шанс найти какие-то бреши в безопасности.

В результате атаки вируса-вымогателя семейства Lockbit Королевская почта Великобритании временно лишилась возможности обрабатывать международные отправления — в подвешенном состоянии оказались более полумиллиона посылок и писем. По версии следствия, в инциденте виновны российские хакеры, передаёт Telegraph.

Источник изображения: Mikhail Fesenko / unsplash.com

Вирус-вымогатель с сигнатурой Lockbit зашифровал файлы на компьютерах в инфраструктуре Королевской почты и вывел на их экраны сообщение с требованием выкупа за расшифровку файлов. При атаке был использован подвид вредоноса Lockbit Black — он заразил машины, используемые почтовым оператором для печати таможенных этикеток на отправляемой за границу корреспонденции, сообщили знакомые с ходом расследования источники. Злоумышленники также пригрозили опубликовать похищенные с компьютеров данные на сайте в даркнете.

Сообщение с требованием уплаты выкупа не только демонстрируется на мониторах заражённых машин, но и выводится на печать — это было замечено как минимум в одном распределительном центре, расположенном в североирландском городе Малласк близ столицы региона Белфаста. Расследование инцидента проводит Национальное агентство по борьбе с преступностью Великобритании (NCA), а в борьбе с его последствиями Королевской почте помогает Национальный центр кибербезопасности.

Неустановленные злоумышленники, связанные с разработчиками шифровальщика LockBit 3.0, используют инструмент командной строки в антивирусе Windows Defender для загрузки в скомпрометированную систему маяков Cobalt Strike, коммерческого инструмента для пентестирования, который активно используется хакерами. Об этом пишет издание CNews со ссылкой на данные компании SentinelOne.

Источник изображения: Pixabay

Согласно имеющимся данным, злоумышленники используют инструмент MpCmdRun.exe для расшифровки и загрузки Cobalt Strike в систему жертвы. Однако использование Windows Defender является лишь одним из этапов хакерской схемы. Сначала злоумышленники компрометируют системы VMWare Horizon Server, на которых отсутствует исправление для уязвимости Log4j. Хакеры модифицируют компонент Blast Secure Gateway, устанавливая веб-шелл с помощью кода PowerShell.

После проникновения в систему хакеры осуществляют выполнение ряда команд и запускают инструменты пост-эксплуатации, включая Meterpreter и PowerShell Empire. Далее злоумышленники загружают с удалённого сервера вредоносный DLL, зашифрованный вредоносный модуль и легитимный инструмент — MpCmdRun.exe, снабжённый рабочей цифровой подписью. Что касается вредоносного DLL, то речь идёт о библиотеке mpclient.dll, которая особым образом модифицирована. MpCmdRun.exe загружает библиотеку автоматически и с её помощью расшифровывает основное тело активного элемента Cobalt Strike, скрытое в файле C0000015.log.

«Защитникам необходимо иметь в виду, что операторы LockBit и их партнёры исследуют и используют новые инструменты «living off the land», т.е. легитимные локальные средства, для загрузки маяков Cobalt Strike, успешно обходя некоторые типичные EDR-системы и антивирусы», — сказано в сообщении SentinelOne. Ранее в этом году эксперты SentinelOne предупреждали, что операторы LockBit используют утилиту VMwareXferlogs.exe (легитимный инструмент системы виртуализации VMware, используемый для обмена данными с логами VMX) для загрузки маяков Cobalt Strike.