LokiLocker и BlackBit наступают на российский бизнес

[Artifact]

Вымогатели имеют загадочные предпочтения - они целенаправленно обходят компьютеры с персидским языком интерфейса.
Эксперты Лаборатории цифровой криминалистики из компаний F.A.C.C.T. предупреждают о росте активности программ-вымогателей LokiLocker и BlackBit в России. Треть всех жертв этих шифровальщиков по всему миру находятся в РФ — 21 компания. Атакующие требуют выкуп до $100 тыс. (до 8 млн руб.) за расшифровку данных. Однако, важно отметить, что они не похищают информацию и не шифруют файлы на компьютерах, где выбран персидский язык в качестве основного языка интерфейса.
Первые атаки с использованием LokiLocker эксперты зарегистрировали весной 2022 года на Ближнем Востоке, хотя сам шифровальщик появился летом 2021 года. Позднее атаки с использованием LokiLocker, который распространяется по партнерской программе RaaS (Ransomware-as-a-Service, «вымогательство как услуга»), были обнаружены по всему миру.
В России наряду с LokiLocker для атак на средний и малый бизнес злоумышленники использовали новый «родственный» шифровальщик под брендом BlackBit. По своему функционалу он практически идентичен LokiLocker, основное отличие состоит лишь в нейминге: для зашифрованных файлов используется расширение. BlackBit.
Несмотря на то, что партнеры, взявшие на вооружение LokiLocker и BlackBit, не похищают у своих жертвы данные и не выкладывают их на Data Leak Site (DLS) для дальнейшего шантажа, криминалистам F.A.C.C.T. удалось раскрыть, кого именно атакуют вымогатели. Эксперты использовали данные, полученные при реагировании на инциденты и анализе сторонних источников, включая портал VirusTotal.
По данным Лаборатории цифровой криминалистики, начиная с апреля 2022 г. LokiLocker и BlackBit атаковали не менее 62 компаний по всему миру, из них 21 жертва находилась в России. В основном это компании малого и среднего бизнеса из сферы строительства, туризма, розничной торговли.
Начальная сумма выкупа колеблется от $10 тыс. до $100 тыс., и она зависит от финансовой возможности компании и количества ключей расшифровки, приобретаемых жертвой - для каждого зашифрованного хоста требуется свой уникальный ключ.
Одной из особенностей вымогателей является проверка языка ввода — если вредоносная программа находит на компьютере установленный персидский язык (Persian), то завершает свою работу. Однако вопрос о происхождении злоумышленников до сих пор остается открытым.
Некоторые исследователи считают, что атаки LokiLocker и BlackBit проводятся "под чужим флагом" с целью затруднить исследователям работу. В то же время эксперты F.A.C.C.T. не исключают возможности того, что состав группы может быть интернациональным, несмотря на то, что партнерская программа и первые версии этих программ-вымогателей были созданы носителями персидского языка.
Компания F.A.C.C.T. установила, что средняя продолжительность атак LokiLocker и BlackBit составляет от одного дня до нескольких дней. Злоумышленники начинают атаку, используя скомпрометированные службы удаленного доступа, прежде всего, публично доступные терминальные серверы RDP (Remote Desktop Protocol). Для получения доступа к RDP-серверу атакующие могут использовать подбор логинов и паролей или приобрести их на темных интернет-ресурсах у посредников.
Получив начальный доступ, злоумышленники стремятся закрепиться в сети и получить привилегированные учетные данные, для чего используют известную и легитимную утилиту Mimikatz. В процессе разведки злоумышленники могут изучать файлы и документы на хостах для оценки финансовой способности жертвы, но они не крадут эти данные.
Загрузка программ-вымогателей LokiLocker и BlackBit на компьютеры жертвы производится вручную злоумышленниками, обычно в выходные или праздничные дни. Предварительно злоумышленники пытаются отключить антивирусное программное обеспечение, используя легитимные утилиты. Для коммуникации с жертвами хакеры используют электронную почту и мессенджер Telegram. Если выкуп не получен и декриптор не использован в течение 30 дней, программа-вымогатель уничтожает все данные на скомпрометированной системе.
В свете геополитической напряженности российский бизнес все чаще подвергается кибератакам, в которых программы-вымогатели, ранее редко встречавшиеся в России, играют все более заметную роль. Однако, несмотря на то, что атакующие LokiLocker и BlackBit не используют сложные и инновационные методы, их успех объясняется небрежным отношением бизнеса к безопасности внешних сервисов удаленного доступа, особенно к публично доступным терминальным серверам, что значительно расширяет возможности атаки и облегчает задачу злоумышленникам.