Операторы вымогателя Hello использовали методы китайских APT-группировок

[Artifact]

Злоумышленники предположительно намеревались увести расследование по ложному следу.

Команда исследователей в области кибербезопасности из компании eSentire рассказала подробности о загадочной кибератаке, в ходе которой использовались сложные методы установки относительно простой программы-вымогателя.
Вредоносная кампания была обнаружена, когда киберпреступники попытались осуществить атаку с помощью программы-вымогателя на неназванную организацию по тестированию безопасности продуктов. Атака была обнаружена и остановлена ​​до того, как стала успешной, но предоставила исследователям из eSentire достаточно информации для анализа используемых тактик, методов и процедур.
Использованные в данной вымогательской кампании методы имели сходство с методами китайской киберпреступной группировки APT27 (также известной как Emissary Panda). По словам экспертов, киберпреступники могли загрузить простое вымогательское ПО Hello в IT-среду жертву и таким образом отвлечь ИБ-экспертов от своих истинных мотивов — кибершпионажа.
Хакеры использовали уязвимости в Microsoft SharePoint и инструмент для удаленного доступа China Chopper, выполняющий роль бэкдора на скомпрометированных системах. Web-оболочка China Chopper часто используется китайскими APT-группировками и злоумышленниками.
Преступники также использовали Mimikatz для похищения паролей, повышения привилегий, попытки отключить защитные решения и выполнения PowerShell-команд с помощью техники маскарадинга, маскируясь под легитимное решение «Антивирус Касперского».
Применяя тактику киберпреступных группировок, злоумышленники предположительно намеревались увести расследование по ложному следу.
Вымогательское ПО Hello шифрует файлы c добавлением расширения .hello и оставляет записку с требованием выкупа. Программа-вымогатель Hello является довольно простой по стандартам самых известных программ-вымогателей в 2021 году, поскольку группировка не угрожает жертвам утечкой данных и не имеет сайта утечек данных для публикации похищенной информации. Кроме того, группировка не работает по бизнес-модели «вымогательское-ПО-как-услуга», как многие из наиболее распространенных на сегодня вариантов вымогателей.