Недавнее обновление программы-вымогателя RansomHouse вызвало новые опасения у специалистов по кибербезопасности, представив многоуровневое шифрование в рамках модели RaaS (Ransomware-as-a-Service) с двойным вымогательством.
Эта группа, также известная под кодовым названием Jolly Scorpius, перешла от простого одноэтапного шифрования к многоуровневой архитектуре с двойным ключом, что усложняет её вымогательскую деятельность.
По данным команды Palo Alto Networks, занимающейся анализом угроз, это обновление повышает сложность восстановления данных после компрометации систем. Изменения влияют на процесс обработки и шифрования файлов во время атаки, затрудняя анализ и ограничивая возможности защиты данных без уплаты выкупа.
«Обновление шифрования, используемого RansomHouse RaaS, переход от простой линейной модели к более сложной многоуровневой, сигнализирует о тревожной тенденции в развитии программ-вымогателей», — заявили исследователи Unit42 в своём блоге. «Это демонстрирует, как злоумышленники обновляют свои методы для повышения эффективности».
Исследователи оценили масштабы операций RansomHouse как «значительные»: на сайте утечки данных группы указано не менее 123 жертв из сфер здравоохранения, финансов, транспорта и государственного управления.
Обновление шифрования для VMware ESXi
Исследователи подтвердили, что RansomHouse отказывается от линейной модели шифрования в пользу многоэтапного процесса с двойным ключом, что существенно затрудняет дешифрование или восстановление ключей. Обновлённый шифратор был обнаружен под названием «Mario» и описан как компонент программы-вымогателя для новой многоуровневой системы.
В ходе реверс-инжиниринга Mario, проведённого Unit42, аналитики обнаружили, что обновлённый бинарный файл генерирует основной 32-байтный и вторичный 8-байтный ключ шифрования, выполняя отдельные, взаимосвязанные циклы шифрования.
Для предприятий, использующих виртуальную инфраструктуру, особенно хосты VMware ESXi, это развитие представляет собой переход к более серьёзным последствиям компрометации. Инструменты RansomHouse нацелены непосредственно на файлы и резервные копии ESXi, шифруя их с расширением «.e.mario» и оставляя инструкции по оплате выкупа.
В сочетании с MrAgent, служебной программой RansomHouse для развёртывания и обеспечения стойкости, эта RaaS-платформа затрудняет как непрерывность операционной деятельности, так и усилия по восстановлению, отметили исследователи.
RansomHouse применяет двойное вымогательство
Помимо криптографического обновления, RansomHouse использует модель двойного вымогательства, которая включает в себя не только шифрование данных, но и их кражу с угрозой публичного раскрытия, чтобы оказать дополнительное давление на жертв с целью получения выкупа.
Эта многоуровневая тактика давления, уже являющаяся общей чертой современных атак программ-вымогателей, усложняет сроки реагирования на инциденты и стратегии переговоров для корпоративных команд безопасности.
Раскрытие информации Unit 42 также показало, что RansomHouse работает по модульной схеме атаки, разделяя операторов (разработчиков инструментов и менеджеров утечек) и злоумышленников/партнёров (тех, кто получает доступ и развёртывает программу-вымогатель). Такая модель позволяет RaaS масштабироваться и адаптироваться, даже когда отдельные партнёры меняют методы работы или перебрендируются.
В раскрытии отмечается, что стратегии обнаружения, основанные исключительно на статических сигнатурах, становятся всё более недостаточными против программ-вымогателей, таких как RansomHouse, которые используют динамическое, сегментированное шифрование с многофазным исполнением. Инвестирование в поведенческую аналитику, мониторинг в реальном времени, усиленную сегментацию и регулярную проверку резервных копий остаётся крайне важным. Unit 42 опубликовала индикаторы компрометации (хеши файлов, расширения файлов и артефакты записок с требованием выкупа), связанные с обновлёнными инструментами RansomHouse, призывая предприятия проактивно искать соответствующую активность на затронутых конечных точках и виртуализированных средах.
Автор – Shweta Sharma
