29 июля 2017

Настоящие мотивы авторов Wannacry и ExPetr

Если считать что два — это совпадение, а три — тренд, то возможно пока рано считать WannaCry и ExPetr новым веянием среди APT атак. Но вообще, похоже.

Исследователи пытаются определить реальные мотивы, стоящие за каждой из этих глобальных эпидемий, и понять, в действительности ли эти инциденты являются признаком изменения тактики целевых атак на уровне государств.

«Лаборатория Касперского» провела сравнительный анализ WannaCry и ExPetr (оба зловреда использовали для распространения эксплойт EternalBlue). В результате эксперты пришли к выводу, что эти атаки «шифровальщиков-вымогателей» были эффективным прикрытием для актов саботажа.

«Первая APT-атака была стремительной, спонтанной и не столь технически грамотной, в то время как вторая оказалась сугубо практичной, гибкой и сфокусированной на цели», заключает «Лаборатория Касперского» в своем сравнительном обзоре. «Мы видим самое начало нового тренда — это необычная тактика, заключающаяся в маскировке APT-атаки, уничтожающей информацию, под действия вымогателя».

Именно такой подход использовали авторы ExPetr, распространяя шифровальщик-вымогатель, истинной целью которого было вовсе не получение выкупа. Ошибки в коде делали восстановление данных невозможным. Кроме того, немецкий провайдер сразу же заблокировал адреса электронной почты злоумышленников, так что данные жертв были обречены.

Исследователям не потребовалось много времени чтобы понять, что ExPetr изначально был замаскированной атакой вайпера (зловреда, уничтожающего информацию), целью которого были, в первую очередь, компании на Украине. Исследователи утверждают, что на зараженных компьютерах была перезаписана загрузочная запись жесткого диска (MBR), что уничтожило данные навсегда. Так что это была чистой воды диверсия. А сбор с жертв нескольких сотен долларов в биткойнах — последнее, что интересовало нападавших.

По мнению специалистов «Лаборатории Касперского», вся разница между ExPetr и такими атаками как Shamoon, Destover и Black Energy состоит в том, что они были более агрессивными и очевидными.

«Все они служили для уничтожения данных, и были совершенно явно доставлены жертвам для нанесения максимального ущерба. Что интересно, по времени они совпадали с масштабными политическими событиями», отмечают исследователи «Лаборатории Касперского». «Таким образом, действия, предпринимаемые для сокрытия саботажа можно считать интересным изменением тактики злоумышленников».

Авторы атаки WannaCry использовали целевые фишинговые письма со ссылками на файлы, размещенные в различных сервисах. Они были замаскированы под документы (резюме и опросники) а на самом деле были исполняемыми файлами, которые служили для заражения компьютеров. Атакующие не пытались забрать биткойны, заплаченные жертвами за восстановление информации, а также не были замечены за попытками усовершенствовать свой зловред, чтобы он начал приносить доход.

«Такой образ действий тоже может кое-что рассказать о злоумышленниках, их возможностях и интересах — они никуда не спешат, практичны и прячут свои настоящие цели достаточно странными способами», — говорят эксперты «Лаборатории Касперского».


Источник: Threatpost | Новости информационной безопасности