Киберпреступники нашли новое применение вирусам-шифровальщикам, используя их на финальной стадии направленных атак. В Японии с помощью зловреда ONI взломщики заметают следы вторжения и одновременно пытаются получить дополнительный доход.

Сообщение о новой схеме поступило от американской компании Cybereason — ее эксперты обнаружили, что пострадавшие от ONI компьютеры до этого оказались под прицелом фишинговой атаки. Пользователи получали электронные письма с зараженным Word-документом, который скачивал и устанавливал на их машины программу для удаленного администрирования Ammyy Admin. Этот безобидный сам по себе софт уже попадал в новости киберпреступности — хакеры регулярно взламывают сайт разработчика и компрометируют дистрибутив. О том, что Ammyy Admin используется для атак на корпоративные инфраструктуры, эксперты «Лаборатории Касперского» предупреждали еще в апреле 2016 — тогда обнаружилось, что инфицированная сборка определяла попадание в офисную сеть и устанавливала банковский троянец Lurk. Разработчики программы не торопятся с апдейтом защиты собственного сайта, позволяя преступникам снова и снова распространять с их площадки зловредный софт.

В случае японских атак Ammyy Admin RAT использовался по основному назначению, но в недобросовестных целях — после установки на зараженные машины злоумышленники получали полный доступ к системе. Оказавшись внутри корпоративной сети, они взламывали доменные сервера, обеспечивая себе полную свободу в течение неограниченного времени. Более того, отследить их действия постфактум оказалось практически невозможно. Трех-девяти месяцев полного доступа к корпоративным сетевым ресурсам вполне достаточно, чтобы украсть любую информацию, ради которой предпринималась атака.

Выполнив основную задачу, какой бы они ни была, преступники запускали скрипт, который зачищал логи событий и запускал шифровальщика. Исследователи отмечают, что в атаке использовались две версии зловреда ONI — стандартный GlobeImposter для машин рядовых сотрудников и неизвестный ранее, продвинутый MBR-ONI для серверов Active Directory и компьютеров с критически важными данными. В последнем случае вирус шифровал главную загрузочную запись, или Master Boot Record — отсюда и приставка в названии. В результате злоумышленники блокировали загрузку самой системы. Планировали ли они получить выкуп или же, как в случае с ExPetr, использовали шифровальщик в качестве вайпера, остается неизвестным. В любом случае, по имеющейся информации, никто из пострадавших пользователей не стал платить выкуп и даже не выходил на связь с киберпреступниками.

Обзор ONI вышел буквально через несколько дней после отчета IBM X-Force, где рассказывалось об атаках трояна Ursnif на японский финансовый сектор. Ранее японские правоохранительные органы уже сообщили, что 2017 год стал рекордным по количеству киберпреступлений. За первые полгода Национальное полицейское агентство Японии получило почти 70 тыс. сообщений о взломах, случаях цифрового мошенничества, воровстве биткоинов и прочих криптовалют. Это на 5% больше, чем годом ранее. Ущерб от этих атак превысил 564 млн йен (более 288 млн рублей). Раскрыть при этом удалось только 4,2 тыс. преступлений, или 6% от общего числа.

Категории: Вредоносные программы, Хакеры