
06.05.2022
Що нового в Labyrinth Deception Platform: реліз 2.0.32
22.04.2022
Palo Alto Networks проінформувала про вразливості, які можуть дозволити зловмиснику відключити платформу Cortex XDR
20.04.2022
Передові anti-DDoS рішення від A10 Networks доступні для інсталяції!
15.04.2022
Inspur другий рік поспіль стає зразковим постачальником Cloud-Optimized обладнання за версією Gartner Hype Cycle
07.04.2022
Швидка доставка рішень від INFINIDAT і Inspur доступна вже зараз!
04.04.2022
Команда CrowdStrike дослідила програму-вимагач PartyTicket, націлену на українські компанії
26.03.2022
Як не стати «мимовільним спільником» російських кібератак на українські системи (частина 3)
22.03.2022
CrowdStrike Falcon захищає від нового шкідливого ПЗ типу Wiper, що використовується в кібератаках проти України
20.03.2022
Як не стати «мимовільним спільником» російських кібератак на українські системи (частина 2)
16.03.2022
Дослідження security-групи A10 Networks: як не стати «мимовільним спільником» російських кібератак на українські системи
23.02.2022
Демонстрація: CrowdStrike Falcon детектує набір вірусів WhisperGate
23.02.2022
Inspur — компанія №1 за часткою світового ринку AI-серверів!
18.02.2022
Відтепер компанія iIT Distribution – офіційний дистриб’ютор рішень Picus Security!
17.02.2022
Звіт про глобальні загрози 2022 року від CrowdStrike!
14.02.2022
iIT Distribution підписала партнерську угоду з компанією Inspur!
10.02.2022
Пост-реліз: Вебінар, присвячений оновленим можливостям Nakivo Backup & Replication v10.5
10.02.2022
Новітня розробка Falcon XDR від компанії CrowdStrike тепер доступна для користувачів!
02.02.2022
Знайомство з процесами Security Operations Center (SOC) та найкращі рекомендації для його ефективної роботи від Lepide
27.01.2022
Кібератака на українські державні сайти: що нам відомо сьогодні
21.01.2022
Технічний аналіз шкідливого завантажувача WhisperGate, націленого на українські організації
14.01.2022
CrowdStrike Services випускає Incident Response Tracker для спеціалістів DFIR (Digital Forensics and Incident Response)
12.01.2022
Експлойт noPac: Нова вразливість Microsoft AD може призвести до повної компрометації домену за лічені секунди
06.01.2022
7 IT-тенденцій 2022 року, які слід взяти на озброєння
30.12.2021
Витік секретних IP-адрес Pfizer не є рідкістю. Захистіть свої хмарні дані за допомогою проактивного шифрування
30.12.2021
6 афер, які слід уникати в ці новорічні свята: добірка рекомендацій від Panda Security
17.12.2021
Як CrowdStrike захищає клієнтів від загроз, пов'язаних з Log4Shell
16.12.2021
Що таке SCAR і якими технологіями керуються мисливці на загрози з команди Falcon OverWatch?
09.12.2021
Acra Community Edition 0.90.0: шифрування в SQL та NoSQL базах даних без додаткового програмування
08.12.2021
11 кроків до відновлення після фішингової атаки: рекомендації від Lepide
30.11.2021
Компанія Aruba (HPE) шістнадцятий рік поспіль визнається лідером у звіті Gartner Magic Quadrant for Enterprise Wired and WLAN Infrastructure 2021!
23.11.2021
Серія вебінарів від iIT Distribution & NAKIVO: твій надійний бекап!
21.11.2021
Рішення CrowdStrike Falcon отримало найвищу оцінку AAA за результатами тестування організації SE Labs
15.11.2021
Бізнес-вечеря CrowdStrike: як це було?
08.11.2021
iIT Distribution – офіційний дистриб'ютор компанії Nakivo!
05.11.2021
Компанію CrowdStrike визнали світовим лідером у галузі сучасного захисту кінцевих точок в останньому звіті IDC MarketScape!
03.11.2021
Що таке інформаційна безпека підприємства та які основні засади захисту даних існують?
02.11.2021
CrowdStrike та AWS розширюють свою інтеграцію: відтепер клієнти зможуть отримати багаторівневий захист від ransomware та складних загроз
29.10.2021
Global Threat Report 2021 від CrowdStrike вже доступний українською мовою!
25.10.2021
SDP чи VPN? (Чи обидва варіанти?)
19.10.2021
CrowdStrike представляє перший у своєму роді XDR Module, що забезпечує виявлення інцидентів у реальному часі й автоматичне реагування по всьому стеку безпеки
19.10.2021
Infinidat – лідер серед первинних систем зберігання даних згідно зі звітом Gartner Magic Quadrant 2021
18.10.2021
Компанія iIT Distribution отримала статус офіційного дистриб'ютора A10 Networks
11.10.2021
Впровадження інновації no-code в мережеві процеси
11.10.2021
iIT Distribution розширив арсенал своїх здобутків: фаховий сертифікат NetBrain Certified Platform Associate
05.10.2021
SuperMem: Безкоштовний інструмент CrowdStrike Incident Response для автоматизації обробки образів пам'яті
30.09.2021
Захід, що розширює кордони знань і можливостей: Перший Щорічний Форум з Кібербезпеки CS² DAY 2021 справив справжній фурор на гостей!
23.09.2021
На завершення знайомства з партнерами заходу CS² DAY представляємо компанію-системного інтегратора – CS Consulting!
21.09.2021
Провідний фахівець Security-підрозділу компанії IBM Віталій Воропай завітає на CS² DAY в якості спікера!
20.09.2021
Список спікерів Першого Щорічного Форуму з Кібербезпеки лише поповнюється: знайомтеся з Дмитром Петращуком від компанії IT-Specialist
20.09.2021
На CS² DAY виступлять представники державного сектору: Віктор Жора та Олександр Галущенко!
17.09.2021
Зустрічайте наступного запрошеного спікера довгоочікуваного CS² DAY – Олексія Зайончковського від компанії Netwave!
16.09.2021
Представляємо другого спікера CS² DAY: Михайло Кропива – InfoSec Director топової української IT-компанії SoftServe!
16.09.2021
Познайомтеся ближче з компанією-головним партнером CS² DAY та першим спікером заходу – Майклом Чальватцісом!
08.09.2021
iIT Distribution та CrowdStrike запрошують на CS² DAY – Перший Щорічний Форум з Кібербезпеки!
03.09.2021
Компанія iITD зібрала своїх партнерів на бізнес-вечері A10 Vendor`s Day
30.08.2021
Модель Zero Trust і система DLP: що нового розповіли наші представники та партнери на міжнародній конференції «Digital Change & Customers — Цифрові зміни та клієнтський сервіс»
05.08.2021
Запрошуємо на міжнародну конференцію «Digital Change & Customers - Цифрові зміни та клієнтський сервіс»
28.07.2021
Прийшов час спинити острах нових технологій: як змінити звичних виробників рішень і впровадити більш прогресивні технології у свою інфраструктуру?
20.07.2021
Забезпечте захист даних петабайтного масштабу з блискавичним відновленням!
12.07.2021
Infinidat — найкращий вибір клієнтів Gartner Peer Insights 2021!
06.07.2021
CrowdStrike посіла перше місце за часткою ринку Modern Endpoint Security 2020!
05.07.2021
Контролер доставки додатків А10 Thunder ADC на нашому складі!
22.06.2021
Анонс нового рішення для зберігання даних корпоративного класу InfiniBox SSA від Infinidat!
10.06.2021
Запрошуємо на третій віртуальний форум CrowdStrike!
07.06.2021
Перші поставки мережевого обладнання Aruba
01.06.2021
Комплексне DLP-рішення компанії GTB Technologies отримало сертифікат Державної служби спеціального зв’язку та захисту інформації України
31.05.2021
Як витончені атаки максимізують прибуток хакерів і до яких дій захисту необхідно вдатися негайно
19.05.2021
iIT Distribution – офіційний дистриб’ютор рішення Automox
18.05.2021
Серія навчальних воркшопів від CrowdStrike
11.05.2021
CrowdStrike вдруге стала лідером в Gartner Magic Quadrant 2021 року серед платформ захисту кінцевих точок!
11.05.2021
Огляд нової версії NetBrain Integrated Edition 10.0. Продовження
28.04.2021
Огляд нової версії NetBrain Integrated Edition 10.0
26.04.2021
Компанія Infinidat запускає програму акредитації партнерів
16.04.2021
iIT Distribution – офіційний дистриб’ютор компанії Lookout
12.04.2021
iIT Distribution розширює свій портфель мережевими рішеннями від Aruba Networks
12.04.2021
Компанія iIT Distribution отримала статус Business Partner в партнерській програмі Hewlett Packard Enterprise
08.04.2021
Чому провайдерам хостингу потрібно звернути увагу на рішення зберігання даних від Infinidat? Практичний досвід використання
05.04.2021
Модель ZTNA допомагає скоротити стресові навантаження на співробітників, які виникають внаслідок дистанційного формату роботи
30.03.2021
CrowdStrike — лідер серед сервісів виявлення загроз інформаційної безпеки, реагування на них і розслідування кіберінцидентів (MDR)!
24.03.2021
Falcon X від CrowdStrike визнаний лідер у звіті Forrester Wave: External Threat Intelligence Services за перший квартал 2021 року!
15.03.2021
Нове дослідження Forrester показує всі економічні переваги від використання Falcon Complete!
02.03.2021
iITD - офіційний партнер Міжнародного Гранд Форуму «BIT&BIS-2021»!
24.02.2021
CrowdStrike оголосив про придбання провідної високопродуктивної лог менеджмент платформи Humio!
18.02.2021
Виступ Intelligent IT Distribution на міжнародній конференції «Go Digital - 2021: прискорення & міграція.Гроші йдуть в Online».
08.02.2021
Міжнародна конференція «Go Digital - 2021: прискорення & міграція. Гроші йдуть в Online»!
25.01.2021
Відповідь CrowdStrike на нещодавні атаки Supply Chain
08.10.2020
Intelligent IT Distribution взяла участь у Третьому щорічному Міжнародному Форумі «Кібербезпека - Захистимо Бізнес, Захистимо Держава»
29.09.2020
iITD - партнер форуму “Кібербезпека - захистимо бізнес, захистимо державу” 2020
24.09.2020
Компанія IIT Distribution отримала статус дистриб’ютора рішень NetBrain Technologies на території України
28.08.2020
Fal.Con 2020 від CrowdStrike
25.08.2020
Дотримання норм страхування кіберризиків
25.08.2020
Автоматично блокуйте скомпрометовані облікові записи з Lepide Active Directory Self Service 20.1
25.08.2020
Компанія Cossack Labs запрошує відвідати NoNameCon
22.07.2020
Підписання дистриб’юторської угоди з компанією Safe-T
21.07.2020
Міжнародна конференція: "Online Banking - Час інновацій!"
18.06.2020
Глобальний звіт про кіберзагрози 2020
11.06.2020
Четвер, 25 червня 2020 року. Не пропустіть!
20.05.2020
Звіт PandaLabs: Розуміння загроз 2020
05.05.2020
Анонс: нова версія Acra Enterprise забезпечує підвищену гнучкість для високонавантажених систем
13.04.2020
Lepide Remote Worker Monitoring Pack - легка платформа безпеки, яка гарантує негайний захист даних бізнесу протягом непередбаченого періоду віддаленої роботи.
12.04.2020
Забезпечення кібербезпеки для віддалених користувачів
08.04.2020
Labyrinth Technologies пропонує скористатися спеціальною пропозицією - ліцензія на 12 місяців за ціною 6 місяців.
07.04.2020
«CrowdStrike: дистанційна робота та ІТ-безпеку за часів кризи - скорочена ліцензійна програма на 3-6 місяців».
23.03.2020
Компанія iIT Distribution отримала статус дистриб’ютора рішень RedSeal Networks на території України.
23.03.2020
Компанія iIT Distribution отримала статус дистриб’ютора рішень Lepide на території України.
16.03.2020
Компанія iIT Distribution починає дистрибуцію рішень CrowdStrike на території України.
19.02.2020
20 лютого у Києві відбудеться щорічна конференція CISO DX DAY 2020
18.02.2020
Компанія iIT Distribution отримала статус дистриб’ютора рішень Instana на території України
23 лютого 2022 року було проведено низку руйнівних кібератак, спрямованих на українські організації. Згідно з галузевими звітами, в декількох організаціях, які безпосередньо постраждали від атаки, було виявлено Go-based програму-вимагач під назвою PartyTicket (або HermeticRansom). Разом з нею були ідентифіковані й інші сімейства шкідливих програм, включно з програмою типу Wiper, яку розвідка CrowdStrike відстежує як DriveSlayer (HermeticWiper).
Аналіз програми-вимагача PartyTicket показав, що вона реалізовує досить поверхневе шифрування файлів, неправильно ініціалізуючи ключ шифрування, що дає можливість дешифрувати зашифрований файл з відповідним розширенням .encryptedJB.
Технічний аналіз
Екземпляр програми-вимагача PartyTicket має хеш SHA256 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382. Було помічено, що він пов’язаний з іменами файлів cdir.exe, cname.exe, connh.exe та intpub.exe.
Екземпляр програми-вимагача, написаний за допомогою Go версії 1.10.1, містить багато символів, які посилаються на політичну систему США, включаючи voteFor403, C:/projects/403forBiden/wHiteHousE та primaryElectionProcess.
Програма-вимагач перебирає букви всіх дисків і рекурсивно перераховує файли на кожному диску та його підпапках, за винятком шляхів до файлів, які містять рядки Windows і Program Files, а також шлях до папки C:\Documents and Settings (остання папка була замінена у версіях Windows, Windows XP, на C:\Users). Для шифрування обираються файли з такими розширеннями:
acl, avi, bat, bmp, cab, cfg, chm, cmd, com, contact, crt, css, dat, dip, dll, doc, docx, dot, encryptedjb, epub, exe, gif, htm, html, ico, in, iso, jpeg, jpg, mp3, msi, odt, one, ova, pdf, pgsql, png, ppt, pptx, pub, rar, rtf, sfx, sql, txt, url, vdi, vsd, wma, wmv, wtv, xls, xlsx, xml, xps, zip
Для кожного шляху до файлу, який проходить раніше описані перевірки, ransomware копіює власний екземпляр у той самий каталог, з якого він був запущений, і запускає його через командний рядок, передаючи шлях до файлу як аргумент. Батьківський процес ransomware присвоює імена своїм клонам за допомогою випадкового UUID, створеного загальнодоступною бібліотекою, яка використовує поточну мітку часу та MAC-адреси мережевих адаптерів зараженого хоста.
Розробник шкідливої програми намагався використовувати типи WaitGroup мови Go для реалізації багатопотоковості, але через ймовірну помилку в кодуванні програма створює велику кількість потоків (по одному на перерахований шлях до файлу) і копіює власний двійковий файл в поточний каталог стільки разів, скільки було вибрано файлів. Після завершення всіх потоків шифрування вихідний двійковий файл видаляє себе через командний рядок.
Коли екземпляр отримує шлях до файлу як аргумент, він шифрує його за допомогою AES в режимі Galois/Counter (GCM). Ключ AES генерується за допомогою функції Intn пакета Go rand для вибору зміщення в масиві символів 1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ, генеруючи 32-байтовий ключ. Через ймовірну помилку в кодуванні затравка для функції Intn оновилася після генерації ключа, тобто при кожному запуску бінарного файлу та його клонів генерується один і той же ключ AES. Усі файли, зашифровані на хості, шифруються тим самим ключем, і знання ключа відповідного екземпляра PartyTicket дозволяє розшифрувати їх. Сценарій, який використовує цей недолік для відновлення зашифрованих файлів, доступний у Git-репозиторії CrowdStrike.
Для кожного файлу ключ шифрування AES сам шифрується за допомогою RSA-OAEP використовуючи відкритий ключ RSA, який має такі параметри:
Modulus (N): 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
Exponent (E): 0x10001
Перед шифруванням програма-вимагач перейменовує файл у форматі <original file name>.[[email protected][.]com].encryptedJB ("JB", ймовірно, означає ініціали президента США Джозефа Байдена, враховуючи політичний зміст бінарного файлу). Потім програма-вимагач перезаписує вміст зашифрованими даними. PartyTicket шифрує лише перші 9437184 байта (9,44 МБ) файлу. Якщо розмір файлу, переданого як аргумент, більший за ліміт, всі дані, що перевищують обмеження, залишаються незашифрованими. Після шифрування вмісту файлу PartyTicket додає до кінця файлу ключ AES, зашифрований за допомогою RSA .
Перед початком шифрування програма пише викупну HTML-нотатку в каталог робочого столу користувача з назвою read_me.html (рисунок 1). Якщо це не навмисні помилки, граматичні конструкції в нотатці свідчать про те, що вона, ймовірно, не була написана або вичитана людиною, яка вільно володіє англійською.
Рисунок 1. Викупна записка
Аналіз
Спочатку аналітична служба CrowdStrike не приписувала діяльність програми PartyTicket конкретному зловмиснику.
Програма-вимагач містить помилки в реалізації, що робить її шифрування повільним та легко зламним. Цей недолік говорить про те, що автор шкідливої програми або не мав досвіду написання мовою Go, або доклав замало зусиль для її тестування, можливо через обмежений час розробки. Зокрема, PartyTicket не такий досконалий, як DriveSlayer, який реалізує низькорівневу схему аналізу NTFS. Відносна незрілість та політична спрямованість цієї програми-вимагача, час її розгортання та орієнтація на українські організації дозволяють припустити, що вона використовується як додаткове корисне навантаження до DriveSlayer, а не як стандартна програма-вимагач.
Сигнатури YARA
Для виявлення PartyTicket можна використати наступне правило YARA:
Сценарій для розшифровування файлів
Через вище описані помилки в генерації ключа AES, використовуваного PartyTicket в процесі шифрування, його можна розшифрувати. Наведений нижче скрипт Go розшифровує файли, зашифровані екземпляром PartyTicket 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382. Скрипт приймає файл для розшифровування як аргумент через flag "-p" і зберігає розшифрований результат у "decrypted.bin" у тому ж каталозі. Сценарій може бути створений у вигляді файлу, запущеного за допомогою пакета Go run; він був протестований за допомогою Go версії 1.16.6.
Дізнайтеся, як захистити свою організацію від сучасних кібератак за допомогою продуктів CrowdStrike.
iIT Distribution – офіційний дистриб'ютор рішень від CrowdStrike, які дозволяють компаніям використовувати передові технології в галузі побудови безперебійного захисту своїх IT-інфраструктур. Ми тісно співпрацюємо з нашими клієнтами, надаючи повний комплекс послуг із супроводу проєктів.
Назад