ESET раскрывает опасный тандем MDeployer и MS4Killer
Исследователи из ESET обнаружили новое вредоносное ПО, созданное группой Embargo для развёртывания одноимённого шифровальщика. Программы написаны на языке Rust, что позволяет разработчикам Embargo создавать универсальные кроссплатформенные инструменты для атак на системы Windows и Linux. Система включает в себя загрузчик MDeployer и программу для отключения средств безопасности MS4Killer, которые настраиваются под каждого конкретного пользователя, что делает обход защитных систем более эффективным. Отдельное внимание привлекает MS4Killer, компилируемая для каждой цели и нацеленная на определённые системы безопасности, что облегчает доступ к корпоративным данным.
Группа Embargo впервые привлекла внимание ESET в июне 2024 года, а публичное упоминание о ней появилось в мае того же года. Специалисты отмечают, что инструментарий группы ещё находится в стадии доработки: каждая атака демонстрирует уникальные версии, а также оставляет артефакты, которые свидетельствуют о том, что работа над инструментами ведётся активно. В июле 2024 года произошли первые инциденты в США, когда обновлённые версии MDeployer и MS4Killer использовались в корпоративных сетях. При этом версия MDeployer неоднократно менялась на этапах атаки, что, вероятно, связано с оперативной корректировкой после первой неудачной попытки.
MDeployer является основным инструментом, обеспечивающим запуск MS4Killer и самого шифровальщика Embargo. В процессе работы MDeployer расшифровывает два файла — a.cache и b.cache — и использует их для выполнения вредоносного кода. MS4Killer работает непрерывно, пока MDeployer завершает атаку, очищая следы, удаляя файлы и перезагружая систему. Примечательно, что группа активно использует безопасный режим Windows, отключая таким образом защитные решения, которые в данном режиме не активны, что упрощает выполнение атаки.
Особенностью Embargo является методика «двойного вымогательства»: в случае отказа жертвы от выплаты выкупа похищенные данные публикуются на сайте утечек. Группа взаимодействует с жертвами через собственную инфраструктуру и мессенджер Tox, оказывая дополнительное давление на пострадавших и зачастую добиваясь выполнения своих требований. Специалисты полагают, что Embargo функционирует как провайдер RaaS (ransomware as a service) и предоставляет инструменты для кибератак другим киберпреступникам, предлагая партнёрам выплаты в зависимости от результата атак. После недавних арестов и прекращения деятельности других известных группировок, таких как BlackCat и LockBit, Embargo заняла свою нишу, предлагая более гибкий и эффективный подход.
Исследование ESET также выявило, что инструменты Embargo подвержены багам и логическим ошибкам. Например, одна из версий MDeployer удаляла файл полезной нагрузки и пыталась выполнить его же, что вызывало сбои. Эти ошибки объясняют наличие различных версий инструментов в одной атаке — группа корректировала инструменты прямо в процессе атаки.
Программа MS4Killer примечательна использованием метода BYOVD, при котором уязвимые драйверы завершают процессы защитных систем. Она постоянно отслеживает и завершает процессы систем безопасности, используя уязвимый драйвер probmon.sys, что позволяет злоумышленникам обходить защитные решения на уровне ядра системы. MS4Killer также скрывает свои действия, применяя XOR-шифрование для строковых данных и используя библиотеку параллелизма Rayon, которая распределяет задачи по завершению процессов на отдельные потоки, повышая эффективность атаки.
Тщательный подход Embargo к настройке своих инструментов подчёркивает их высокий уровень подготовки и наличие значительных ресурсов.
Храним важное в надежном месте