Хакерская группировка Agrius выдает деструктивное ПО за вымогательское

[Artifact]

Злоумышленники делают вид, будто шифруют файлы с целью получения выкупа, но на самом деле уничтожают их.

Связываемая с Ираном киберпреступная группировка Agrius немного изменила свою тактику и вместо стопроцентно деструктивного вайпера стала использовать ПО с функциями как вайпера, так и вымогательской программы.
Как сообщила компания SentinelOne в своем новом отчете, Agrius была впервые обнаружена в 2020 году, когда группировка атаковала цели в Израиле. Хакеры используют комбинацию из инструментов собственного производства и готовых инструментов для развертывания деструктивного вредоносного ПО (вайпера) или вайпера-вымогателя.
Тем не менее, в отличие от кибервымогательских группировок Maze и Conti, Agrius не преследует исключительно финансовую выгоду. Скорее, использование вымогательского ПО – новое дополнение к атакам, направленным ни на что иное, как на кибершпионаж и разрушение. Кроме того, в некоторых отслеживаемых SentinelOne атаках, в которых использовался только вайпер, хакеры только делали вид, будто похищали и шифровали информацию с целью получения выкупа за расшифровку, но на самом деле информация уже была уничтожена.
По словам исследователя, злоумышленники намеренно маскировали свои атаки под атаки вымогательского ПО, хотя в действительности их целью было не вымогательство, а уничтожение данных.
На первом этапе атаки хакеры используют VPN, получают доступ к принадлежащим жертвам приложениям и сервисам и пытаются проэксплуатировать уязвимости в них (к примеру, в атаках на цели в Израиле чаще всего эксплуатировалась уязвимость CVE-2018-13379 в FortiOS). В случае успеха злоумышленники устанавливают web-оболочки и с помощью легитимных инструментов перемещаются по сети и собирают учетных данные, после чего развертывают вредоносное ПО.
Один из инструментов Agrius использует Deadwood (Detbosit) – деструктивный вайпер, созданный киберпреступной группировкой APT33 и использовавшийся в атаках на цели в Саудовской Аравии в 2019 году.
В ходе атак Agrius также устанавливает в атакуемой сети бэкдор на языке .NET под названием IPsec Helper для получения постоянства и соединения с C&C-сервером. Вдобавок хакеры развертывают новый вайпер на .NET под названием Apostle.
Во время недавней атаки на государственный объект в Объединенных Арабских Эмиратах группировка использовала улучшенную и модифицированную версию Apostle. В программу были добавлены функциональные компоненты вымогателей, но, по мнению исследователей, ее главное предназначение – уничтожение данных, а не шифрование с целью получения финансовой выгоды.