Ранее в этом году в Японии был найден еще один вирус-вымогатель, названный ONI. Он описывается как вид вымогательства GlobeImposter. Эксперты в июле опубликовали, «Когда он уклоняется от системы, он шифрует все пользовательские данные, меняет расширение на .oni, а затем запрашивает выкуп для дешифрования пользовательских данных».
Cybereason теперь заявляет, что он является не совсем вирусом-вымогателем, а скорее «очистителем», чтобы скрыть расширение операции взлома». В отчете эксперты Cybereason заявили, что ONI использовался в атаках на японскую промышленность. В отличие от регулярных приемов вымогательства, эти вирусы выдерживали около трех и девяти месяцев, и все закончились тем, что они просили выкуп. Выкуп был фактически использован, чтобы покрыть причину взлома.
В аналогичном исследовании Cybereason обнаружил еще одно средство для восстановления буткитов – MBR-ONI, которое изменяет MBR и шифрует разделы диска. «Мы предположили, что два ONI и MBR-ONI похожие по характеристике угрозы, так как они использовались как часть соединения в одних и тех же атаках, а их записка о выкупе содержит одинаковый адрес электронной почты», - сказали власти.
Имя ONI происходит от вида шифрования файла, используемого для шифрования файлов .oni. он обозначает «демон» на японском. Этот термин также отображается в контактном адресе электронной почты, используемом в качестве части заметки о выкупе: «Oninoy0ru», который может интерпретироваться с японского как «Night of the Devil» - «Дьявол ночи».
В атаке дела, разобранном Cybereason, показывается, что стандартное дело, как обычно, находится под наблюдением. Это началось с прибыльных спир-фишинговых атак с внедрением Ammyy Admin Rat, что было вызвано наблюдением и кражей данных, а параллельная разработка «в конечном итоге торгует основными ресурсами, включая контроллер домена (DC), чтобы полностью контролировать систему».
Последним этапом атаки является использование log-wiper журналов и ONI с использованием стратегии групповой группы, в которой Cybereason изображает «тактику выжженной земли». GPO будет дублировать содержимое группы с сервера DC, очищая временные журналы Windows, чтобы охватить следы хакеров и сохранить стратегическое расстояние от идентификации на основе журнала. Командный файл использует команду wevtutil наряду с сигналом «cl», очищая события из более чем 460 определенных журналов событий. ONI также дублируется из DC и выполняется, шифруя значительный кластер документов.
Новый MBR-ONI используется экономно только против скромной группы адресов конечных точек. Это были основные ресурсы, например, сервер AD и файловые серверы. Хотя и ONI, и MBR-ONI могут быть дешифрованы (и, следовательно, могут быть названы вирусами-вымогателями вместо очистителями), «Мы подозреваем, - говорят эксперты, - что MBR-ONI был использован как очиститель для покрытия действительного намерения операции».
Кроме того, специалисты предполагают, что вирус EternalBlue был использован множеством устройств для распространения через системы. Несмотря на то, что очистка журнала и шифрование данных, вызванные атаками, затрудняют подтверждение этому, было замечено, что исправление EternalBlue не было введено в скомпрометированную систему, а беспомощный SMBv1 все еще был активным.
Вирус ONI содержит код GlobeImposter со следами русского языка. «Возможно, что эти данные могли быть намеренно оставлены хакерами,» - говорят эксперты, - «Также возможно, что нападения проводились русскоязычными или, по крайней мере, русские написали данный вирус».
Вирус ONI использует похожие сообщения и ID для каждого устройства, на которое он влияет (вирус ONI использовал альтернативный ID для каждой зашифрованной системы). Для шифрования использовался измененный вариант инструмента DiscCryptor с открытым исходным кодом. Несмотря на то, что он может быть расшифрован, если злоумышленники предоставляют правильный ключ, «мы предполагаем, что хакеры никогда не собирались возвращать зашифрованную систему. Скорее, программа должна была использоваться как очиститель, чтобы скрыть впечатления хакеров и маскировать мотивы атаки».
Эксперты очень сомневаются в том, что основной целью атаки ONI в ЯПОНИИ был выкуп. По какой причине хакер потратит до девяти месяцев, когда его можно было узнать в любое время и избавиться от него, прежде чем расширять возможности шифрования?
«До этого момента группа безопасности называла ONI вирусом-вымогателем. В то время как ONI и недавно представленный MBR-ONI демонстрируют каждую характеристику вируса, наша исследовательская группа предлагает, чтобы они использовались как очистители, чтобы скрыть обширную атаку », - говорит Ассаф Дахан, начальник передового управления безопасностью в Cybereason. «Как кто-то возглавлял красные группы, он показывает, что, имея в виду конечную цель массового распространения вируса, которое может быть достигнуто в течение нескольких часов или дней. Таким образом, оставаться в системе так долго не имеет смысла, если у него нет какой-либо другой цели.
«Мы не отрицаем вероятность того, что денежная прибыль была замыслами этих атак», - подытоживает Cybereason. «Тем не менее, учитывая идею нападений и профиль целенаправленных организаций, другие намерения тоже не следует исключать».
И учитывая, что эксперты отмечают, что ONI относится к Японии, они также поднимают вопрос о распространяющихся слухах, что вирус используется в качестве wiper как киберпреступниками, так и государствами в разных частях мира: PetWrap, Mamba, SamSam, NotPetya, Shamoon и Bad Rabbit – во всех возможных случаях. Такие тактики выжженной земли помогают препятствовать инцидентам с реагированиями в попытках расшифровать записи, влияя при этом на власть конкретной страны, чтобы указать на экранные персонажи крайне затруднительно.
Это подход, предсказанный Carbon Black в отчете от сентября 2017 года: Вирус-вымогатель будет постепенно распространяться современными группами, которые будут использовать его для цели на определенную организацию или страну, часто для расширения или маскировки различных целей - или, по существу, как как сложное цифровое оружие страны.
