Вымогатель получил новые функции и теперь представляет большую угрозу для организаций по всему миру.
По данным ИБ-компании Symantec, группировка Coreid (FIN7, Carbon Spider), обновила свою программу-вымогатель Darkside и предлагает более продвинутые возможности своим партнерам.
Программа-вымогатель Darkside приобрела известность в мае 2021 года, когда она была использована в разрушительной атаке на крупнейшую трубопроводную систему США Colonial Pipeline.
В своем отчете Symantec подробно описала актуальные методы Coreid для проведения вымогательских атак на организации. Coreid работает по RaaS-схеме, собирая деньги с аффилированных лиц, которые используют инструменты группы в своих атаках. После того, как инцидент с Colonial Pipeline привлек чрезмерное внимание к Darkside, его создатели переименовали программу в BlackMatter , а затем в Noberus. И именно Noberus представляет большую угрозу благодаря более сложным инструментам и технологиям.
Noberus предлагает 2 разных алгоритма шифрования и 4 режима шифрования. По умолчанию используется прерывистое шифрование для того, чтобы быстро и надежно зашифровать данные, при этом оставаясь незамеченным.
Для извлечения украденных файлов Noberus использует инструмент Exmatter, который, по словам Symantec, предназначен для кражи определенных типов файлов из выбранных каталогов и последующей загрузки их на сервер злоумышленника еще до развертывания программы-вымогателя. Exmatter постоянно совершенствуется и может извлекать файлы через FTP, SFTP или WebDav. Он может создать отчет обо всех эксфильтрованных файлах. Также он может самоуничтожиться, если работает не в корпоративной среде.
Noberus также может использовать инфостилеры для получения учетных данных от ПО для резервного копирования Veeam, продукта для защиты данных и аварийного восстановления, используемого многими организациями для хранения учетных данных контроллеров домена и облачных служб. Вредоносное ПО Infostealer.Eamfo, может подключаться к базе данных SQL, в которой хранятся учетные данные, и красть их с помощью определенного SQL-запроса.
Сейчас Coreid избавляется от партнеров, которые не приносят им достаточную прибыль. Хакеры поощряют только прибыльных клиентов. Любой партнер, который приносит более $1,5 млн., получает доступ к инструментам DDoS-атаки, базам данных телефонных номеров жертв, чтобы связаться с ними напрямую, и бесплатным методам брутфорс-атаки.
Одно найти легче, чем другое. Спойлер: это не темная материя