NoName: как создать хакерский альянс, работая в тени LockBit

Группа вымогателей NoName уже более трех лет пытается создать себе репутацию, нацеливаясь на малый и средний бизнес по всему миру с помощью своих шифровальщиков. Специалисты ESET предположили, что NoName теперь сотрудничает с RansomHub в качестве партнера.

Хакеры применяют кастомизированные инструменты, входящие в семейство вредоносных программ Spacecolon. Для проникновения в сеть киберпреступники используют методы брутфорс-атак, а также эксплуатируют старые уязвимости. Недавно в арсенале NoName появился новый шифровальщик — ScRansom, заменивший Scarab.

Исследователи отслеживают деятельность группы с 2023 года, присвоив ей кодовое название CosmicBeetle. ESET подчеркивает, что несмотря на меньшую сложность ScRansom по сравнению с другими известными угрозами, этот шифровальщик продолжает развиваться и представляет опасность.

ScRansom поддерживает частичное шифрование с разными режимами скорости, давая злоумышленникам гибкость. Программа также заменяет содержимое файлов постоянным значением, делая их восстановление невозможным. Шифровальщик способен работать со всеми типами носителей — локальными, удалёнными и съёмными. Перед запуском шифрования ScRansom отключает ключевые процессы и службы Windows, включая Защитника Windows, теневые копии и процессы, связанные с виртуализацией.

Шифрование ScRansom использует сложную схему, комбинируя алгоритмы AES-CTR-128 и RSA-1024. Однако многоступенчатый процесс шифрования порой приводит к ошибкам, которые могут помешать расшифровке даже при наличии правильных ключей. В одном из случаев жертва получила 31 ключ для расшифровки, но так и не смогла восстановить все файлы.

ScRansom продолжает развиваться. Сам вирус написан на языке Delphi, как и другие инструменты CosmicBeetle. Интересно, что для запуска шифрования требуется вмешательство человека, что затрудняет его обнаружение в автоматизированных песочницах. Последние версии вируса автоматизированы и требуют минимального вмешательства. ScRansom атакует файлы на всех дисках и использует несколько режимов шифрования, один из которых полностью уничтожает данные, делая их восстановление невозможным.

В дополнение к брутфорс-атакам, NoName активно эксплуатирует уязвимости, которые чаще всего встречаются в инфраструктуре малых и средних компаний. Среди них — CVE-2017-0144 (EternalBlue), CVE-2020-1472 (ZeroLogon), уязвимости FortiOS SSL-VPN (CVE-2022-42475), а также бреши в Veeam и Active Directory. В атаках NoName также эксплуатируется уязвимость CVE-2017-0290 через специальный скрипт, отключающий защитные функции Windows.

Попытки группы заявить о себе не ограничиваются только внедрением новых шифровальщиков. Исследователи заметили, что CosmicBeetle начала использовать утечку исходного кода вируса LockBit, имитируя известную преступную группировку как в требованиях выкупа, так и на сайтах для утечки данных. Это помогает убедить жертв платить выкуп, думая, что они имеют дело с более опытными злоумышленниками.

В сентябре 2023 года CosmicBeetle создала сайт, который является копией сайта LockBit, где публиковались данные жертв, поражённых не только NoName, но и самой LockBit. В ноябре злоумышленники пошли дальше, зарегистрировав домен lockbitblog[.]info и использовав бренд LockBit для дальнейших атак.

Сайт утечек NoName (слева) и сайт LockBit (справа)

Использование утечек инструментов для шифрования, как в случае с LockBit, — это частая практика для неопытных групп вымогателей. Это помогает им не только воспользоваться узнаваемым брендом, но и получить надёжно работающий образец шифровальщика. В ходе одного из инцидентов, начавшегося с неудачной попытки развернуть ScRansom, хакеры через несколько дней воспользовались инструментами RansomHub, что позволило исследователям предположить возможное партнерство NoName с этой группировкой.

Хотя окончательных доказательств сотрудничества нет, активное развитие ScRansom и переход на использование инструментов LockBit говорят о том, что NoName не собирается прекращать свою деятельность.