Profik a háttérben
Elemzések szerint a Crypto24 tagjai jól képzettek, valószínűleg korábbi, már megszűnt zsarolóvírus-bandák rutinos tagjaiból tevődnek össze. Miután sikerül bejutniuk a vállalati rendszerbe, először alapértelmezett Windows adminisztrátori fiókokat aktiválnak, vagy új felhasználókat hoznak létre, hogy észrevétlenek maradjanak. Ezután egyedi batch fájlokkal térképezik fel a gépeket és a felhasználókat, majd kártékony szolgáltatásokat telepítenek: a WinMainSvc nevű billentyűleütés-naplót és az MSRuntime nevű zsarolószoftver-töltőt.
Biztonsági programok ellen is támadnak
Speciális, egyedileg módosított RealBlindingEDR nevű eszközükkel képesek leállítani többek között a Trend Micro, a Kaspersky, a Sophos, a SentinelOne, a Malwarebytes, a McAfee, a Bitdefender, a Cisco és a Fortinet védelmi rendszereit, pontosan kiszűrve a céges védelmek kernel szintű komponenseit. Amennyiben adminisztrátori joguk van, a Trend Vision One-t például egy hivatalos, karbantartásra szánt segédprogrammal távolítják el, így elkerülhetik a további rosszindulatú szoftverek – például a billentyűzetfigyelő és a zsarolószoftver – lelepleződését.
Adatlopás és titkosítás lépésről lépésre
A billentyűzetfigyelő „Microsoft Help Manager” néven fut, és nemcsak a leütött karaktereket, hanem az aktív ablakok címét, illetve a vezérlőgombokat is rögzíti. Oldalirányú terjedéshez és adatgyűjtéshez SMB-meghajtókat használnak, majd az ellopott adatokat egyedi programmal Google Drive-ra töltik fel. A zsarolószoftver csak azután kapcsol be, hogy minden árnyékmásolatot töröltek a Windows rendszeren, ezzel megakadályozva az egyszerű helyreállítást. A konkrét titkosítási módszerekről vagy a váltságdíj-követelésekről nincs nyilvános információ, ugyanakkor a támadások felismeréséhez már elérhetőek a blokkolásra alkalmas technikai részletek.
