В последнее время преступная группировка Gold Lowell активизировала свою деятельность. Как сообщают специалисты по информационной безопасности, с декабря прошлого года киберпреступники получили как минимум $350 тысяч в качестве выкупа за восстановление зашифрованных файлов.

Мошенники работают с 2015 года. Они взламывают сети средних и малых компаний и применяют зловред SamSam для того, чтобы кодировать информацию, содержащуюся на серверах и рабочих станциях. Атаки Gold Lowell направлены прицельно на организации — ранее они использовали уязвимости фреймворка JBoss, который разработан в первую очередь для корпоративного рынка. Сейчас большинство проникновений строится через протокол удаленного рабочего стола (Remote Desktop Protocol — RDP), который также применяется в бизнес-решениях.

Для своих атак Gold Lowell использует как программы с открытым кодом, так и проприетарные инструменты, доступные на криминальном рынке. Одна из утилит, применяемая злоумышленниками для создания новых пользователей после проникновения в систему, продается на известной в даркнете торговой площадке xDedic. Участники преступной группы обладают высокой квалификацией и отлично разбираются в сетевых технологиях — в своей деятельности они применяют несколько авторских разработок.

Атака состоит из двух этапов. Сначала злоумышленники пытаются взломать сеть жертвы. Серверы под управлением Jboss взламывались при помощи утилиты JexBoss, которая эксплуатирует известные уязвимости этого фреймворка. Для проникновения в сети через протокол RDP киберпреступники используют данные легитимных аккаунтов. Нередко пароли подбираются методом банального перебора — известен случай, когда участники Gold Lowell выполнили более полумиллиона попыток входа под именем administrator, прежде чем получили доступ к сетевым ресурсам жертвы.

Далее специалисты группы собирают данные об IT-инфраструктуре организации, а также анализируют уязвимости систем. Прежде чем приступить к шифрованию данных, Gold Lowell повышает свои привилегии до уровня локального администратора. На этом этапе возможна кража конфиденциальной информации, однако на данный момент о таких случаях ничего не известно. Скорее всего, преступников интересует только получение выкупа.

На втором этапе в дело вступает SamSam. Зловред использует сложный алгоритм шифрования, который практически исключает возможность самостоятельного восстановления системы. Программа кодирует файлы пользователя, заполняет все свободное пространство на диске и удаляет саму себя.

После того как работа организации парализована, злоумышленники связываются с жертвой и предлагают заплатить выкуп за расшифровку данных. В этот момент взаимодействие ведется в интерактивном, практически ручном режиме. Киберпреступники находятся на связи и предлагают тестовую расшифровку нескольких файлов, чтобы продемонстрировать свои возможности.

Обычно Gold Lowell требует $9500 за свои «услуги», однако в зависимости от эффективности конкретной атаки сумма выкупа может увеличиться. В прошлом году одна из компаний заплатила 28 биткойнов (примерно $68 000) за восстановление информации на своих компьютерах. А в январе американская клиника Hancock Health перечислила мошенникам $55 000, чтобы вернуть файлы с данными пациентов.

Злоумышленники предоставляют жертве подробные инструкции по созданию биткойн-кошелька, а также помогают в покупке и переводе криптовалюты. В случае невыполнения требований вымогатели действуют жестко и решительно. Известно как минимум об одном случае, когда мошенники удвоили сумму выкупа за небольшую задержку оплаты.

В отличие от операторов вайпера NotPetya киберпреступники из Gold Lowell действительно восстанавливают зашифрованные файлы после получения оплаты. Грамматические ошибки в сообщениях группы свидетельствуют о том, что английский не является для них родным языком, однако национальность злоумышленников по-прежнему неизвестна.

Категории: Вредоносные программы, Главное