21.07.2025
1 хв
589
Ця стаття присвячена детальному аналізу сучасної загрози, що залишається малопомітною для широкої аудиторії, але становить реальний ризик для корпоративних мереж. Матеріал ґрунтується на технічних спостереженнях, телеметрії та аналітичних даних, зібраних фахівцями з кіберрозвідки. У публікації розглядається, як подібні кампанії розгортаються, які підходи використовуються для проникнення в інфраструктуру та чому такі атаки роками можуть залишатися поза увагою.
Фінансово мотивованого зловмисника, активного щонайменше з 2022 року, нещодавно зафіксували під час поширення варіанту ransomware MedusaLocker. Зібрані дані про інструменти, які регулярно використовує ця група, дозволяють оцінити приблизну кількість жертв та країни їх походження.
Активність угруповання простежується з кінця 2022 року. Атаки здійснюються проти організацій по всьому світу, однак до середини 2023 року найбільша кількість жертв припадала на країни Європейського Союзу. Після цього фокус змістився на держави Латинської Америки.
Під час атак поширювався варіант MedusaLocker під назвою BabyLockerKZ. Цей зразок скомпільований із PDB-шляхом, що містить рядок paid_memes. Така ж позначка була виявлена й в інших інструментах, які застосовувалися під час компрометації, що вказує на одного розробника або автора.
З’явилася нова інформація про набір інструментів зловмисника, включно з BabyLockerKZ, а також про тактики, техніки та індикатори компрометації, які можуть бути використані для виявлення та запобігання подальшим атакам.
Останні інциденти показали характерний сценарій, що призводив до розгортання BabyLockerKZ. Повторювані техніки, зокрема зберігання однакового набору інструментів у тих самих директоріях на зламаних системах, використання утиліт із PDB-шляхом paid_memes, а також застосування інструмента бокового переміщення під назвою checker, дозволили глибше проаналізувати діяльність цього угруповання.
Під час атак використовуються як загальновідомі інструменти, так і living-off-the-land binaries, а також власний набір утиліт, створених для викрадення облікових даних і переміщення всередині скомпрометованих мереж. У більшості випадків ці інструменти є обгортками навколо публічно доступних рішень, доповнених функціями для автоматизації атак і зручними графічними або командними інтерфейсами.
Той самий розробник створив і варіант MedusaLocker, використаний у початкових атаках. Попри використання тих самих чатів і сайтів витоків, цей зразок має низку відмінностей від оригінального MedusaLocker. Серед них інший ключ автозапуску та додаткові публічні й приватні ключі, що зберігаються в реєстрі. Виходячи з назви ключа автозапуску, самі зловмисники називають цей варіант BabyLockerKZ.
З середнім рівнем упевненості оцінюється, що угруповання має фінансову мотивацію та, ймовірно, діє як брокер первинного доступу або партнер у межах ransomware-екосистеми. Атаки ведуться щонайменше з 2022 року й мають опортуністичний характер, із вибором жертв у різних країнах.
Наприкінці 2022 та на початку 2023 року більшість постраждалих організацій знаходилися в Європі. Починаючи з першого кварталу 2023 року, основний фокус змістився на Латинську Америку. У результаті середня кількість жертв на місяць майже подвоїлася.
Аналіз інструментів, які регулярно застосовувалися під час атак, дозволив оцінити кількість жертв і географію уражень. Хоча ці дані не охоплюють усю діяльність угруповання, вони дають уявлення про окремий часовий зріз його активності.
Активність простежується щонайменше з жовтня 2022 року. У той період більшість цілей знаходилися в таких європейських країнах, як Франція, Німеччина, Іспанія та Італія. У другому кварталі 2023 року щомісячна кількість атак майже подвоїлася, а основними цілями стали країни Латинської Америки, зокрема Бразилія, Мексика, Аргентина та Колумбія. Такий рівень активності зберігався на рівні близько 200 унікальних скомпрометованих IP-адрес на місяць до першого кварталу 2024 року, після чого інтенсивність атак почала знижуватися.
Зловмисник систематично компрометував велику кількість організацій, часто понад 100 на місяць, щонайменше з 2022 року. Це свідчить про професійний і вкрай агресивний характер атак та повністю відповідає моделі діяльності брокера первинного доступу або партнера у ransomware-екосистемі.
Під час атак, що призводили до розгортання BabyLockerKZ, зловмисник використовував як загальновідомі інструменти, так і утиліти, які можуть бути характерними саме для цього угруповання. Для зберігання інструментів атаки регулярно використовувалися стандартні користувацькі папки скомпрометованих систем, зокрема Music, Pictures та Documents. Такий підхід допомагає маскувати шкідливу активність серед легітимних файлів.
Під час одного з інцидентів інструменти зберігалися за такими шляхами:
c:\users\<user>\music\advanced_port_scanner_2.5.3869.exe
c:\users\<user>\music\hrsword\hrsword install.bat
c:\users\<user>\music\killav\build.004\disabler.exe
c:\users\<user>\music\checker\checker(222).exe
c:\users\<user>\music\checker\invoke-thehash.ps1
c:\users\<user>\music\checker\invoke-smbexec.ps1
c:\users\<user>\music\checker\invoke-wmiexec.ps1
c:\users\<user>\appdata\roaming\ntsystem\ntlhost.exe.exe
c:\users\<user>\appdata\local\temp\advanced port scanner 2\advanced_port_scanner.exe
c:\users\<user>\appdata\local\temp\is-juad3.tmp\advanced_port_scanner_2.5.3869.tmp
Подібна схема вже фіксувалася раніше під час атак із використанням MedusaLocker, задокументованих у лютому 2023 року. Дані телеметрії вказують, що саме цей період був одним із найбільш активних для даного зловмисника.
Серед інструментів, які регулярно застосовувалися під час компрометації, були:
HRSword_v5.0.1.1.rar Утиліта для вимкнення антивірусних і EDR-рішень.
Advanced_Port_Scanner_2.5.3869.exe Інструмент для сканування мережі з додатковими функціями картографування внутрішньої інфраструктури.
Netscan.exe (SoftPerfect Network Scanner) Альтернатива Advanced Port Scanner з подібним функціоналом.
ProcessHacker.exe Засіб моніторингу та адміністрування процесів, який дозволяє переглядати та контролювати запущені процеси на зараженій системі.
PCHunter64.exe Інструмент зі схожими можливостями, орієнтований на аналіз і завершення процесів.
Mimikatz Відомий інструмент для вилучення облікових даних користувачів Windows із пам’яті.
Попри широке використання публічно доступних засобів, зловмисник також застосовує менш розповсюджені інструменти, призначені для оптимізації та автоматизації атак. Вони поєднують роботу популярних утиліт, таких як Mimikatz, Invoke-The-Hash, PsExec та RDP, і доповнюють їх зручними графічними або командними інтерфейсами.
Одним із ключових таких інструментів є Checker, зафіксований під час атаки з розгортанням BabyLockerKZ. Як і сам ransomware, цей інструмент містить PDB-шлях із рядком paid_memes. Аналіз цього маркера дозволив ідентифікувати низку файлів у відкритих репозиторіях шкідливого ПЗ, більшість з яких виявилися зразками BabyLockerKZ. Також було виявлено кілька додаткових інструментів, що використовувалися в межах тієї ж екосистеми атак.
Checker E:\paid_memes\wmi_smb_rdp_checker\Release\checker.pdb - це прикладна програма, яка об’єднує кілька вільно доступних утиліт і надає графічний інтерфейс для керування обліковими даними під час бокового переміщення в мережі. Інструмент використовується для спрощення та прискорення подальших етапів атаки після первинної компрометації.
До складу Checker входить набір утиліт:
Remote Desktop Plus
PsExec
Mimikatz
Окрім цього, інструмент містить набір скриптів, побудованих на базі Invoke-TheHash, що дозволяє виконувати автентифікацію та віддалені дії з використанням NTLM-хешів без знання паролів.
Checker оснащений повноцінним графічним інтерфейсом для роботи з інструментами та вбудованою базою даних, у якій зберігаються зібрані облікові дані. Така реалізація вказує на орієнтацію інструмента на систематичне використання під час масштабних атак, а не на одноразові ручні операції.
Як видно з ілюстрації, інструмент дозволяє сканувати IP-адреси на наявність валідних облікових даних із використанням кількох протоколів і технік, зокрема PsExec, RDP, SMB та WMI. Він підтримує імпорт даних зі списків хостів, а також інтеграцію з іншими інструментами з арсеналу зловмисника, такими як Mimikatz і розширений сканер портів.
Checker також уміє розшифровувати хеші та надає зручний графічний інтерфейс для ведення бази даних хостів і відповідних облікових даних, які були отримані або підтверджені під час атаки. Такий підхід значно спрощує контроль над уже скомпрометованими системами та подальше бокове переміщення мережею.
Назва PTH D:\Projects\paid_memes\PTH\Release\PTH.pdb вказує на використання техніки pass-the-hash, яка дозволяє виконувати віддалену автентифікацію за допомогою NTLM-хешів без необхідності підбору або розкриття паролів.
Аналіз ресурсів показує, що інструмент містить такі скрипти:
Invoke-SMBClient.ps1
Invoke-SMBEnum.ps1
Invoke-SMBExec.ps1
Invoke-TheHash.ps1
Invoke-WMIExec.ps1
Ці ж скрипти використовувалися й у складі Checker та є частиною набору Invoke-TheHash. Згідно з описом автора, Invoke-TheHash містить PowerShell-функції для виконання завдань pass-the-hash через WMI та SMB. Підключення здійснюються через .NET TCPClient, а автентифікація відбувається шляхом передачі NTLM-хешу в протокол NTLMv2. При цьому локальні права адміністратора на стороні клієнта не є обов’язковими.
MIMIK D:\Projects\paid_memes\mimik\Release\stub_mimik.pdb є обгорткою навколо Mimikatz та rclone. Він використовується для викрадення облікових даних і їх автоматичного завантаження на сервер, контрольований зловмисником. Вивід у терміналі показує процес виконання відповідних команд.
Приклади команд, які запускалися за допомогою цього інструмента:
64.exe privilege::debug sekurlsa::logonPasswords token::elevate lsadump::sam full exit
C:\Users\user\Desktop\64.exe 64.exe "privilege::debug" "sekurlsa::logonPasswords" "token::elevate" "lsadump::sam full" exit
64.exe "privilege::debug" "sekurlsa::logonPasswords" "token::elevate" "lsadump::sam full" exit
C:\Users\user\Desktop\rclone.exe rclone rcd --rc-no-auth --bwlimit=30M
C:\Users\user\Desktop\rclone.exe rclone rc operations/stat
Поєднання Mimikatz і rclone в одному інструменті дозволяє не лише швидко отримувати чутливі дані, а й одразу ексфільтрувати їх без додаткових ручних дій, що суттєво підвищує ефективність атак.
BabyLockerKZ – це варіант MedusaLocker, який існує щонайменше з кінця 2023 року та вже аналізувався іншими дослідниками, хоча зазвичай не виокремлювався саме під цією назвою як окремий різновид MedusaLocker.
У блозі Cynet цей зразок описувався під назвою Hazard – за розширенням, яке додається до зашифрованих файлів. У публікації також згадується наявність реєстрового ключа BabyLockerKZ, що вказує на внутрішню ідентифікацію цього варіанту.
В іншому дослідженні від Whitehat звертається увага на наявність у зразках MedusaLocker реєстрових ключів PAIDMEMES PUBLIC та PAIDMEMES PRIVATE, які також пов’язують із цим варіантом.
Загалом BabyLockerKZ залишався малопомітним для широкого кола дослідників. Імовірно, це пов’язано з його високою схожістю на класичний MedusaLocker або з тим, що він використовує ті самі чати для зв’язку та сайти витоків даних.
Водночас між BabyLockerKZ та оригінальним MedusaLocker існує кілька помітних технічних відмінностей:
відсутній mutex
{8761ABBD-7F85-42EE-B272-A76179687C63}
відсутній реєстровий ключ MDSLK
використовуються реєстрові ключі PAIDMEMES PUBLIC та PAIDMEMES PRIVATE
застосовується окремий ключ автозапуску BabyLockerKZ
Призначення ключів PAIDMEMES PUBLIC і PAIDMEMES PRIVATE наразі залишається незрозумілим. У своєму матеріалі Whitehat зазначає, що ці ключі, ймовірно, не є критичними для процесу шифрування, оскільки Linux-версія MedusaLocker їх не використовує. Подальше дослідження ролі цих ключів може стати окремою темою для майбутнього аналізу.
BabyLockerKZ демонструє, як знайомі ransomware-сімейства еволюціонують за рахунок власних інструментів, автоматизації та чітко вибудуваної моделі атак. Активність цього угруповання, стабільні обсяги компрометацій і зміна регіонального фокусу свідчать про професійний підхід і роботу в межах зрілої ransomware-екосистеми. Для захисників цей кейс є ще одним нагадуванням, що навіть добре відомі загрози можуть набувати нових форм і залишатися небезпечними за відсутності системного моніторингу та базової кібергігієни.
