Чтобы скрыть свою активность, хакеры применяли вымогательскую программу

Хакеры пользовались вымогательской программой ONI, чтобы скрыть сложную таргетированную киберкампанию Night of the Devil с применением инструментов Агентства национальной безопасности США.

На протяжении нескольких месяцев атаки проводились скрытно, пока хакеры однажды не решили зашифровать информацию одновременно на сотнях устройств. В действительности они хотели не получить выкуп, а уничтожить свидетельства своей активности.

Целями киберкампании являлись несколько японских организаций. Специалисты компании Cybereason, которые занимались расследованием атак, сделали вывод, что посредством вымогательской программы хакеры пытались ликвидировать все следы активности и информацию об атаках.

Вредоносная программа была названа по расширению oni, которое добавляется к зашифрованным файлам, а также по электронному адресу, указанному в требовании выкупа. ONI переводится с японского как «Ночь дьявола». По словам экспертов, большая часть кода ONI была взята из вымогательской программы GlobeImposter.

Программа ONI уже не единожды использовалась в атаках на организации в Японии, но во время последней киберкампании специалисты зафиксировали новую вариацию данного ПО – MBR-ONI, которая оснащена функционалом буткита (буткит – вредоносная программа, вносящая изменения в загрузочный сектор MBR). Вымогательская программа работала на основе легитимной утилиты для шифрования диска DiskCryptor. ONI и MBR-ONI проникали на устройства через фишинговые письма. Вредоносный документ Office, прикрепленный к письмам, осуществлял загрузку утилиты для удаленного доступа Ammyy Admin на систему.

При проникновении на целевую систему хакеры занимались созданием карты внутренних сетей и сбором учетной информации. Киберпреступники работали в сети с помощью утилиты АНБ EternalBlue. После взлома хакеры захватывали контроль над сетью и могли получить доступ к любой информации.

Завершив работу в сети, злоумышленники запускали ONI и MBR-ONI, чтобы скрыть следы своей активности. На инфицированном компьютере ONI показывает сообщение с требованием выкупа и разрешает восстановить файлы. Однако MBR-ONI не предоставляет пользователям ключ для расшифровки, поскольку главной задачей этой программы является уничтожение следов киберкампании.