
06.05.2022
Что нового в Labyrinth Deception Platform: релиз 2.0.32
22.04.2022
Palo Alto Networks проінформувала про вразливості, які можуть дозволити зловмиснику відключити платформу Cortex XDR
20.04.2022
Передовые anti-DDoS решения от A10 Networks доступны для инсталляции!
15.04.2022
Inspur второй год подряд становится образцовым поставщиком Cloud-Optimized оборудования по версии Gartner Hype Cycle.
07.04.2022
Быстрая доставка решений от INFINIDAT и Inspur доступна уже сейчас!
04.04.2022
Команда CrowdStrike провела исследование программы-вымогателя PartyTicket, нацеленной на украинские компании
26.03.2022
КАК НЕ СТАТЬ «НЕПРОИЗВОЛЬНЫМ СООБЩНИКОМ» РОССИЙСКИХ КИБЕРАТАК НА УКРАИНСКИЕ СИСТЕМЫ (PART 3)
22.03.2022
CrowdStrike Falcon защищает от нового вредоносного ПО типа Wiper, используемого в кибератаках против Украины
20.03.2022
Как не стать «непроизвольным сообщником» российских кибератак на украинские системы (часть 2)
16.03.2022
ИССЛЕДОВАНИЕ SECURITY-ГРУППЫ A10 NETWORKS: КАК НЕ СТАТЬ «НЕПРОИЗВОЛЬНЫМ СООБЩНИКОМ» РОССИЙСКИХ КИБЕРАТАК НА УКРАИНСКИЕ СИСТЕМЫ
23.02.2022
Демонстрація: CrowdStrike Falcon детектує набір вірусів WhisperGate
23.02.2022
Inspur — компания №1 по доле мирового рынка AI-серверов!
18.02.2022
Теперь компания iIT Distribution – официальный дистрибьютор решений Picus Security!
17.02.2022
Отчет о глобальных угрозах 2022 года от CrowdStrike!
14.02.2022
iIT Distribution подписала партнерское соглашение с компанией Inspur!
10.02.2022
Пост-релиз: Вебинар, посвященный обновленным возможностям Nakivo Backup & Replication v10.5
10.02.2022
Новейшая разработка Falcon XDR от компании CrowdStrike теперь доступна для пользователей!
02.02.2022
Знакомство с процессами Security Operations Center (SOC) и лучшие рекомендации для его эффективной работы от Lepide
27.01.2022
Кибератака на украинские государственные сайты: что нам известно сегодня
21.01.2022
Технический анализ вредоносного загрузчика WhisperGate, нацеленного на украинские организации
14.01.2022
CrowdStrike Services выпускает Incident Response Tracker для специалистов DFIR (Digital Forensics and Incident Response)
12.01.2022
Эксплойт noPac: Новая уязвимость Microsoft AD может привести к полной компрометации домена за считанные секунды
06.01.2022
7 IT-тенденций 2022 года, которые следует взять на вооружение
30.12.2021
Утечка секретных IP-адресов Pfizer не является редкостью. Защитите свои данные с помощью проактивного шифрования
30.12.2021
6 афер, которые вы можете избежать в эти рождественские праздники. Выборка рекомендаций от Panda Security
17.12.2021
Как CrowdStrike защищает клиентов от угроз, связанных с Log4Shell
16.12.2021
Що таке SCAR і якими технологіями керуються мисливці на загрози з команди Falcon OverWatch?
09.12.2021
Acra Community Edition 0.90.0: шифрування в SQL та NoSQL базах даних без додаткового програмування
08.12.2021
11 кроків до відновлення після фішингової атаки: рекомендації від Lepide
30.11.2021
Компания Аruba (HPE) шестнадцатый год подряд позиционируется как лидер в отчете Gartner Magic Quadrant for Enterprise Wired and Wlan Infrastructure 2021
23.11.2021
Серия вебинаров от iIT Distribution & NAKIVO: твой надежный бэкап!
21.11.2021
Решение CrowdStrike Falcon получило наивысшую оценку AAA по результатам тестирования организации SE Labs
15.11.2021
Бизнес-ужин CrowdStrike: как это было?
08.11.2021
iIT Distribution – официальный дистрибьютор компании Nakivo!
05.11.2021
Компания CrowdStrike признана мировым лидером в области современной защиты конечных точек в последнем отчете IDC MarketScape!
03.11.2021
Что такое информационная безопасность предприятия, какие основные принципы защиты данных существуют?
02.11.2021
CrowdStrike и AWS расширяют свою интеграцию: теперь клиенты смогут получить многоуровневую защиту от ransomware и сложных угроз
29.10.2021
Global Threat Report 2021 от CrowdStrike уже доступен на украинском языке!
25.10.2021
SDP или VPN? (Или оба варианта?)
19.10.2021
CrowdStrike представляет первый в своем роде XDR Module, обеспечивающий выявление инцидентов в реальном времени и автоматическое реагирование по всему стеку безопасности
19.10.2021
Infinidat – лидер среди первичных систем хранения данных согласно отчету Gartner Magic Quadrant 2021
18.10.2021
Компания iIT Distribution получила статус официального дистрибьютора A10 Networks
11.10.2021
Внедрение инновации no-code в сетевые процессы
11.10.2021
iIT Distribution расширил арсенал своих достижений: профессиональный сертификат NetBrain Certified Platform Associate
05.10.2021
SuperMem: Бесплатный инструмент CrowdStrike Incident Response для автоматизации обработки образов памяти
30.09.2021
Мероприятие, которое расширяет границы знаний и возможностей: Первый Ежегодный Форум по Кибербезопасности CS² DAY 2021 произвел настоящий фурор!
23.09.2021
В завершение знакомства с партнерами мероприятия CS² DAY представляем компанию-системного интегратора – CS Consulting!
21.09.2021
Ведущий специалист Security-подразделения компании IBM Виталий Воропай посетит CS² DAY в качестве спикера!
20.09.2021
Список спикеров Первого Ежегодного Форума по Кибербезопасности только пополняется: знакомьтесь с Дмитрием Петращуком от компании IT-Specialist
20.09.2021
На CS² DAY выступят представители государственного сектора: Виктор Жора и Александр Галущенко!
17.09.2021
Встречайте следующего приглашенного спикера долгожданного CS² DAY - Алексея Зайончковского от компании Netwave!
16.09.2021
Представляем второго спикера CS² DAY: Михаил Кропива – InfoSec Director топовой украинской IT-компании SoftServe!
16.09.2021
Познакомьтесь ближе с компанией-главным партнером CS² DAY и первым спикером – Майклом Чальватцисом!
08.09.2021
IIT DISTRIBUTION И CROWDSTRIKE ПРИГЛАШАЮТ НА CS² DAY – ПЕРВЫЙ ЕЖЕГОДНЫЙ ФОРУМ ПО КИБЕРБЕЗОПАСНОСТИ!
03.09.2021
Компания iITD собрала своих партнеров на бизнес-ужине A10 Vendor`s Day
30.08.2021
Модель Zero Trust и DLP-система: что нового рассказали наши представители и партнеры на международной конференции «Digital Change & Customers — Digital Changes and Customer Service»
05.08.2021
Приглашаем на международную конференцию «Digital Change & Customers - Цифровые изменения и клиентский сервис»
28.07.2021
Пришло время остановить страх перед новыми технологиями: как сменить привычных производителей решений и внедрить более прогрессивные технологии в свою инфраструктуру?
20.07.2021
Обеспечьте защиту данных петабайтного масштаба с молниеносным восстановлением!
12.07.2021
Infinidat — лучший выбор клиентов Gartner Peer Insights 2021!
06.07.2021
CrowdStrike заняла первое место по доле рынка Modern Endpoint Security 2020!
05.07.2021
Контроллер доставки приложений А10 Thunder ADC на нашем складе!
22.06.2021
Анонс нового продукта для хранения данных корпоративного класса InfiniBox SSA от Infinidat!
10.06.2021
Приглашаем на третий виртуальный форум CrowdStrike!
07.06.2021
Первые поставки сетевого оборудования Aruba
01.06.2021
Комплексное DLP-решение компании GTB Technologies получило сертификат Государственной службы специальной связи и защиты информации Украины
31.05.2021
Как изощренные атаки максимизируют прибыль хакеров и к каким действиям по защите необходимо прибегнуть прямо сейчас
19.05.2021
iIT Distribution – официальный дистрибьютор решения Automox
18.05.2021
Серия обучающих воркшопов от CrowdStrike
11.05.2021
CrowdStrike во второй раз стала лидером в Gartner Magic Quadrant 2021 года среди платформ защиты конечных точек!
11.05.2021
Обзор новой Версии NetBrain Integrated Edition 10.0. Продолжение
28.04.2021
Обзор новой Версии NetBrain Integrated Edition 10.0
26.04.2021
Компания Infinidat запускает программу аккредитации партнеров
16.04.2021
iIT Distribution – официальный дистрибьютор компании Lookout
12.04.2021
iIT Distribution расширяет свой портфель сетевыми решениями от Aruba Networks
12.04.2021
Компания iIT Distribution получила статус Business Partner в партнерской программе Hewlett Packard Enterprise
08.04.2021
Почему провайдерам хостинга нужно обратить внимание на решение хранения данных Infinidat? Практический опыт использования
05.04.2021
Модель ZTNA помогает сократить стрессовые нагрузки на сотрудников, которые возникают в результате дистанционного формата работы
30.03.2021
CrowdStrike назван лидером среди сервисов по обнаружению угроз информационной безопасности, реагированию на них и расследованию киберинцидентов (MDR)!
24.03.2021
Falcon X от CrowdStrike признан лидером в отчете Forrester Wave: External Threat Intelligence Services за первый квартал 2021 года!
15.03.2021
Новое исследование Forrester показывает все экономические преимущества от использования Falcon Complete!
02.03.2021
iITD - официальный партнер Международного Гранд Форума "BIT&BIS-2021"!
24.02.2021
CrowdStrike объявил о приобретении ведущей высокопроизводительной лог менеджмент платформы Humio!
18.02.2021
Выступление Intelligent IT Distribution на международной конференции «Go Digital - 2021: ускорение & миграция. Деньги идут в Online».
08.02.2021
Международная конференция «Go Digital - 2021: ускорение & миграция. Деньги идут в Online»!
25.01.2021
Ответ CrowdStrike на недавние атаки Supply Chain
08.10.2020
Intelligent IT Distribution приняла участие в Третьем Ежегодном Международном Форуме «Кибербезопасность - Защитим Бизнес, Защитим Государство»
29.09.2020
iITD - партнер форума "Кибербезопасность - защитим бизнес, защитим страну" 2020
24.09.2020
Компания IIT Distribution получила статус дистрибьютора решений NetBrain Technologies на территории Украины
28.08.2020
Fal.Con 2020 от CrowdStrike - iIT Distribution
25.08.2020
Соблюдение норм страхования киберрисков
25.08.2020
Автоматически блокируйте скомпрометированые учетные записи с Lepide Active Directory Self Service 20.1
25.08.2020
Компания Cossack Labs приглашает посетить NoNameCon - iIT Distribution
22.07.2020
Подписание дистрибьюторского соглашения с компанией Safe-T
21.07.2020
Международная конференция "Online Banking - время инноваций!"
18.06.2020
Глобальный отчет о киберугрозах 2020
11.06.2020
Четверг, 25 июня 2020. Не пропустите!
20.05.2020
Отчет PandaLabs: Понимание угроз 2020
05.05.2020
Анонс: новая версия Acra Enterprise, который обеспечивает повышенную гибкость для высоконагруженных систем
13.04.2020
Lepide Remote Worker Monitoring Pack – это простая в развертывании и легкая платформа безопасности, которая предлагает немедленную защиту данных бизнеса в течение непредвиденного периода удаленной работы.
12.04.2020
Обеспечение кибербезопасности для удалённых пользователей
08.04.2020
Labyrinth Technologies предлагает воспользоваться специальным предложением - лицензия на 12 месяцев по цене 6 месяцев.
07.04.2020
CrowdStrike: удаленная работа и IT-безопасность во время кризиса - сокращенная лицензионная программа на 3-6 месяцев
23.03.2020
Компания iIT Distribution получила статус дистрибьютора решений RedSeal Networks на территории Украины.
23.03.2020
Компания iIT Distribution получила статус дистрибьютора решений Lepide на территории Украины.
16.03.2020
Компания iIT Distribution начинает дистрибуцию решений CrowdStrike на территории Украины.
19.02.2020
20 февраля в Киеве состоится ежегодная конференция CISO DX DAY 2020
18.02.2020
Компания iIT Distribution получила статус дистрибьютора решений Instana на территории Украины
23 февраля 2022 был проведен ряд разрушительных кибератак, направленных на украинские организации. Согласно отраслевым отчетам, в нескольких организациях, непосредственно пострадавших от атаки, была обнаружена Go-based программа-вымогатель под названием PartyTicket (или HermeticRansom). Вместе с ней были идентифицированы и другие семейства вредоносных программ, включая программу типа Wiper, которую разведка CrowdStrike отслеживает как DriveSlayer (HermeticWiper).
Анализ программы-вымогателя PartyTicket показал, что она реализует достаточно поверхностное шифрование файлов, неправильно инициализируя ключ шифрования, что позволяет дешифровать зашифрованный файл с соответствующим расширением. .encryptedJB.
Технический анализ
Экземпляр программы-вымогателя PartyTicket имеет хэш SHA256 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382. Было отмечено, что он связан с именами файлов cdir.exe, cname.exe, connh.exe и intpub.exe.
Экземпляр программы-вымогателя, написанный с помощью Go версии 1.10.1, содержит много символов, которые ссылаются на политическую систему США, включая voteFor403, C:/projects/403forBiden/wHiteHousE и primaryElectionProcess.
Программа-вымогатель перебирает буквы всех дисков и рекурсивно перечисляет файлы на каждом диске и его подпапках, за исключением путей к файлам, содержащим строки Windows и Program Files, а также пути к папке C:\Documents and Settings (последняя папка была заменена в версиях Windows, Windows XP, C:\Users). Для шифрования выбираются файлы со следующими расширениями:
acl, avi, bat, bmp, cab, cfg, chm, cmd, com, contact, crt, css, dat, dip, dll, doc, docx, dot, encryptedjb, epub, exe, gif, htm, html, ico, in, iso, jpeg, jpg, mp3, msi, odt, one, ova, pdf, pgsql, png, ppt, pptx, pub, rar, rtf, sfx, sql, txt, url, vdi, vsd, wma, wmv, wtv, xls, xlsx, xml, xps, zip
Для каждого пути к файлу, проходящему ранее описанные проверки, ransomware копирует собственный экземпляр в тот же каталог, из которого он был запущен, и запускает его через командную строку, передавая путь к файлу в качестве аргумента. Родительский процесс ransomware присваивает имена своим клонам с помощью случайного UUID, созданного общедоступной библиотекой, использующей текущую метку времени и MAC-адреса сетевых адаптеров зараженного хоста.
Разработчик вредоносной программы пытался использовать типы WaitGroup языка Go для реализации многопоточности, но из-за вероятной ошибки в кодировании программа создает большое количество потоков (по одному на перечисленный путь к файлу) и копирует собственный двоичный файл в текущий каталог столько раз, сколько было выбрано файлов. После завершения всех потоков шифрования исходный двоичный файл удаляет себя через командную строку.
Когда экземпляр получает путь к файлу в качестве аргумента, он шифрует его с помощью AES в режиме Galois/Counter (GCM). Ключ AES генерируется с помощью функции Intn пакета Go rand для выбора смещения в массиве символов 1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ, генерируя 32-байтовый ключ Из-за вероятной ошибки в кодировании затравка для функции Intn обновилась после генерации ключа, то есть при каждом запуске бинарного файла и его клонов генерируется один и тот же ключ AES. Все файлы, зашифрованные на хосте, шифруются тем же ключом, и знание ключа соответствующего экземпляра PartyTicket позволяет расшифровать их. Сценарий, использующий этот недостаток для восстановления зашифрованных файлов, доступен в Git-репозитории CrowdStrike.
Для каждого файла ключ шифрования AES сам шифруется с помощью RSA-OAEP, используя открытый ключ RSA, который имеет следующие параметры:
Modulus (N): 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
Exponent (E): 0x10001
Перед шифрованием программа-вимогатель переименовывает файл в формате <original file name>.[[email protected][.]com].encryptedJB ("JB", вероятно, означает инициалы президента США Джозефа Байдена, учитывая политическое содержание бинарного файла). Затем приложение-вымогатель перезаписывает содержимое зашифрованными данными. PartyTicket шифрует только первые 9437184 б (9,44 МБ) файла. Если размер файла, переданного в качестве аргумента больше лимита, все данные, превышающие ограничения, остаются незашифрованными. После шифрования содержимого файла PartyTicket добавляет к концу файла ключ AES, зашифрованный с помощью RSA.
Перед началом шифрования программа пишет выкупную HTML-заметку в каталог рабочего стола пользователя с названием read_me.html (рисунок 1). Если это не намеренные ошибки, грамматические конструкции в заметке свидетельствуют о том, что она, вероятно, не была написана или вычитана человеком, свободно владеющим английским.
Рисунок 1. Выкупная записка
Анализ
Сначала аналитическая служба CrowdStrike не приписывала деятельность программы PartyTicket конкретному злоумышленнику.
Программа-вымогатель содержит ошибки в реализации, что делает ее шифрование медленным и легко взламываемым. Этот недостаток говорит о том, что автор вредоносной программы либо не имел опыта написания на языке Go, либо приложил мало усилий для ее тестирования, возможно из-за ограниченного времени разработки. В частности, PartyTicket не так совершенен, как DriveSlayer, реализующий низкоуровневую схему анализа NTFS Относительная незрелость и политическая направленность этой программы-вымогателя, время ее развертывания и ориентация на украинские организации позволяют предположить, что она используется как дополнительная полезная нагрузка к DriveSlayer, а не как стандартная программа-вымогатель.
Сигнатуры YARA
Для обнаружения PartyTicket можно использовать следующее правило YARA:
Сценарий для расшифровки файлов
Из-за выше описанных ошибок в генерации ключа AES, используемого PartyTicket в процессе шифрования, его можно расшифровать. Следующий скрипт Go расшифровывает файлы, зашифрованные экземпляром PartyTicket 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382. Скрипт принимает файл для расшифровки в качестве аргумента через flag "-p" и сохраняет расшифрованный результат в "decrypted.bin" в том же каталоге. Сценарий может быть создан посредством файла, запущенного с помощью пакета Go run; он был протестирован с помощью Go версии 1.16.6.
Узнайте, как защитить свою организацию от современных кибератак с помощью продуктов CrowdStrike.
iIT Distribution – официальный дистрибьютор решений от CrowdStrike, которые позволяют компаниям использовать передовые технологии в области построения бесперебойной защиты своих IT-инфраструктур. Мы тесно сотрудничаем с нашими клиентами, предоставляя полный комплекс услуг по сопровождению проектов.
Назад