Троян-шифровальщик взламывает системы через «дыру», которую антивирусные компании не захотели закрывать
Шифровальщик Thanos стал первым в своем классе вредоносом, использующим методику обхода специализированных защитных инструментов. Большинство разработчиков антивирусов прежде считали, что на практике эту методику применять никто не будет.
Шифровальные услуги
Шифровальщик Thanos стал первым вредоносом, использующим методику обхода защитных средств RIPlace, впервые описанную в 2019 г. Сейчас он распространяется по модели RaaS (шифровальщик как услуга) через российские хакерские форумы. Прежде чем получить имя Thanos, он дважды сменил название.
Разработка вредоноса велась, вероятно, с лета-осени 2019 г. По данным Bleeping Computer, его начали распространять среди потенциальных операторов в октябре 2019 г., а первые запросы техподдержки от пострадавших начали поступать в январе 2020 г. На тот момент вредонос назывался QuimeraRansomware.
Спустя непродолжительное время он уже идентифицировался как Hakbit. С февраля 2020 г. он распространяется под наименованием Thanos.
Участники партнерской программы получают около 60-70% от выручки, складывающейся из выкупов. Кроме того, им предоставляется доступ к платформе PrivateRansomwareBuilder, позволяющей генерировать уникальные исполняемые файлы и настраивать, какие именно файлы будут шифроваться и какие файлы программа будет красть.
Метод обхода
Хотя сам шифровальщик написан на С и не отличается исключительной сложностью, у него есть ряд особенностей, отличающих его от аналогов. Используемая им методика RIPlaceбыла впервые описана компанией Nyotron, занимающейся защитой эндпойнтов.
Эксперты этой компании выяснили, что если шифровальщик переименовывает атакованный файл, используя старую функцию создания символических ссылок DefineDosDevice, программы для защиты от шифровальщиков не смогут корректно идентифицировать операцию. Переименование сработает, но остановить шифрование защитные средства не смогут.
"Новшество RIPlace заключается в том, что драйвер фильтра функций обратного вызова оказывается неспособен корректно обработать путь назначения в рамках операции FltGetDestinationFileNameInformation, - говорится в описании Nyotron. - Он возвращает ошибку на этапе прохождения пути DosDeviceвместо того, чтобы корректно выдать обработанное значение, но при этом вызов Rename срабатывает".
Эксперты компании сообщили о своем обнаружении разработчикам антивирусных решений. Но большинство ответили, что эта методика исключительно теоретическая, на практике ее никто не использует, поэтому и защищаться от нее нет смысла.
Единственными разработчиками, которые восприняли сообщение Nyotron всерьез, оказались "Лаборатория Касперского" и CarbonBlack. Они внесли соответствующие изменения в код своих продуктов.
"Классический случай недооцененной угрозы: в то время как разработчики антивирусов отмахнулись, киберзлоумышленники решили взять метод на вооружение, и, как говорится, не прогадали, - считает Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. - Создатели вредоносов вообще крайне активно отслеживают деятельность своих оппонентов, в том числе независимых экспертов - в надежде получить сведения, которые помогут им усовершенствовать свои разработки".
Метод контролируемого доступа к папкам Microsoft, в свою очередь, также не смог остановить шифровальщик, использующий RIPlace. При этом в компании заявили, что эта методика не отвечает "критериям обслуживания безопасности".
Помимо обхода защитных средств, Thanos обладает встроенными функциями вывода данных и распространения по другим устройствам в той же локальной сети. После установки Thanos скачивает набор инструментов проверки безопасности SharpExecи с помощью одной из них, PSExec копирует и запускает копии своих исполняемых файлов на других компьютерах.
Если операторам удается скомпрометировать машину доменного администратора, последствия будут катастрофическими.