Rust в руках хакеров: Embargo создает новое поколение вымогателей

Исследователи из ESET обнаружили новое вредоносное ПО, созданное группой Embargo для развёртывания одноимённого шифровальщика. Программы написаны на языке Rust , что позволяет разработчикам Embargo создавать универсальные кроссплатформенные инструменты для атак на системы Windows и Linux. Система включает в себя загрузчик MDeployer и программу для отключения средств безопасности MS4Killer, которые настраиваются под каждого конкретного пользователя, что делает обход защитных систем более эффективным. Отдельное внимание привлекает MS4Killer, компилируемая для каждой цели и нацеленная на определённые системы безопасности, что облегчает доступ к корпоративным данным.

Группа Embargo впервые привлекла внимание ESET в июне 2024 года, а публичное упоминание о ней появилось в мае того же года. Специалисты отмечают, что инструментарий группы ещё находится в стадии доработки: каждая атака демонстрирует уникальные версии, а также оставляет артефакты, которые свидетельствуют о том, что работа над инструментами ведётся активно. В июле 2024 года произошли первые инциденты в США, когда обновлённые версии MDeployer и MS4Killer использовались в корпоративных сетях. При этом версия MDeployer неоднократно менялась на этапах атаки, что, вероятно, связано с оперативной корректировкой после первой неудачной попытки.

MDeployer является основным инструментом, обеспечивающим запуск MS4Killer и самого шифровальщика Embargo. В процессе работы MDeployer расшифровывает два файла — a.cache и b.cache — и использует их для выполнения вредоносного кода. MS4Killer работает непрерывно, пока MDeployer завершает атаку, очищая следы, удаляя файлы и перезагружая систему. Примечательно, что группа активно использует безопасный режим Windows, отключая таким образом защитные решения, которые в данном режиме не активны, что упрощает выполнение атаки.

Особенностью Embargo является методика «двойного вымогательства»: в случае отказа жертвы от выплаты выкупа похищенные данные публикуются на сайте утечек. Группа взаимодействует с жертвами через собственную инфраструктуру и мессенджер Tox, оказывая дополнительное давление на пострадавших и зачастую добиваясь выполнения своих требований. Специалисты полагают, что Embargo функционирует как провайдер RaaS (ransomware as a service) и предоставляет инструменты для кибератак другим киберпреступникам, предлагая партнёрам выплаты в зависимости от результата атак. После недавних арестов и прекращения деятельности других известных группировок, таких как BlackCat и LockBit, Embargo заняла свою нишу, предлагая более гибкий и эффективный подход.

Исследование ESET также выявило, что инструменты Embargo подвержены багам и логическим ошибкам. Например, одна из версий MDeployer удаляла файл полезной нагрузки и пыталась выполнить его же, что вызывало сбои. Эти ошибки объясняют наличие различных версий инструментов в одной атаке — группа корректировала инструменты прямо в процессе атаки.

Программа MS4Killer примечательна использованием метода BYOVD, при котором уязвимые драйверы завершают процессы защитных систем. Она постоянно отслеживает и завершает процессы систем безопасности, используя уязвимый драйвер probmon.sys, что позволяет злоумышленникам обходить защитные решения на уровне ядра системы. MS4Killer также скрывает свои действия, применяя XOR-шифрование для строковых данных и используя библиотеку параллелизма Rayon, которая распределяет задачи по завершению процессов на отдельные потоки, повышая эффективность атаки.

Тщательный подход Embargo к настройке своих инструментов подчёркивает их высокий уровень подготовки и наличие значительных ресурсов.