Moses Staff

Moses Staff Ransomware

CDEL Ransomware

Anti-Israel Ransomware

(шифровальщик-не-вымогатель, деструктор) 
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем даже не требует выкуп, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: cdel.exe. Исполняемый файл написан на Python и скомпилирован с помощью PyInstaller. Атакующая группа: Moses Staff. Специалисты считают, что отказ от выкупа и наглое поведение представителей Moses Staff в социальных сетях и СМИ является политически мотивированным, а израильские организации атакуются с целью причинения ущерба. Израильская сторона обвиняет Иран в этих атаках. 
---
Обнаружения: 
DrWeb -> Trojan.Siggen15.44970
BitDefender -> Trojan.MosesStaff.A
ESET-NOD32 -> WinGo/Agent.EW
Kaspersky -> HackTool.Win32.Agent.ajbp
Malwarebytes -> Malware.AI.2596357597
Microsoft -> Trojan:Win32/Vigorf.A
Rising -> Trojan.Generic@ML.92 (RDMK:zmN*
Symantec -> Trojan Horse 
TrendMicro -> TROJ_FRS.VSNTKH21
---

© Генеалогия: ??? >> Moses Staff

Сайт "ID Ransomware" идентифицирует это как Moses Staff. 

Информация для идентификации

Активность этого крипто-вымогателя началась в октябре и продолжилась в ноябре 2021 г. Ориентирован на израильские организации. Тексты написаны на английском. 

К зашифрованным файлам добавляется расширение: *нет данных*.

Первые исследователи вредоносной программы, специалисты Check Point не стали относить хакерскую группу к какой-либо конкретной стране, не имея доказательств, но указали, что некоторые образцы вредоносного ПО группы были отправлены на сайт VirusTotal с IP-адресов, находящихся в Палестине, за несколько месяцев до первой атаки Moses Staff. На момент публикации и обновления статьи Moses Staff перечислили 16 жертв на своем сайте утечки. 

Записка с требованием выкупа не используется, вместо нее публикуются громкие заявления. Пример такого заявления на следующем скриншоте.

Содержание текста (с оригинальными ошибками): 

Moses Staff

And those who didn't tolerate the Moses legitimacy called his staff magic and spell and they tyrannized Moses' disciples abundantly.

Now. the same ones violate justice and opress our nation excessively, thus makes us more determined to fight.

The soldiers whise blood is shed due to wrong policies and fruitless wars, the mothers mourning for their children, and all the cruelty and injustice done to the people of this nation; we won't forget! We won't forgive! We'll keep fighting! To uncover your hidden crimes.

You are close to the end.

Перевод текста на русски: 

Moses Staff

И те, кто не мирился с законностью Моисея, называли его посох магией и колдовством и притесняли учеников Моисея.

Теперь те же самые нарушают справедливость и жестоко угнетают нашу нацию, тем самым заставляя нас бороться более решительно.

Солдат, кровь которых пролита из-за неправильной политики и бесплодных войн, матерей, оплакивающие своих детей, и всю жестокость и несправедливость, причиненную людям этой страны; мы не забудем! Мы не простим! Мы будем бороться! Чтобы раскрыть ваши тайные преступления. 

Вам скоро конец.

---

Содержание другого сообщения на сайте Moses Staff: 

Our cyber power against their oppression

Our cyber attacks will continue to expose your crimes

Work with us

Do you want to take part in exposing the crimes of the Zionists in occupied Palestine?

Contact us

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Группа Moses Staff взламывает сети жертв, используя старые уязвимости серверов Microsoft Exchange, которые остаются без исправлений. После успешного проникновения в систему хакерская группа перемещается по сети в боковом направлении с помощью PsExec, WMIC и Powershell, специальные бэкдоры не используются. Затем перед шифрованием данных хакеры крадут конфиденциальную информацию из сети жертвы.

Цепочка заражения

Для шифрования хакеры используют вредоносную программу PyDCrypt, которая развертывает библиотеку DiskCryptor с открытым исходным кодом для шифрования томов и блокировки компьютеров жертв с помощью загрузчика, который не позволяет машинам загружаться без правильного пароля. Даже если указан правильный пароль, данные все равно будут зашифрованы после загрузки системы. 

Check Point установили, что пароль загрузки и ключ шифрования могут быть восстановлены при определенных обстоятельствах, поскольку схема шифрования использует генерацию симметричного ключа при шифровании устройств. Иначе говоря, PyDCrypt генерирует уникальные ключи для каждого имени хоста на основе хэша MD5 и созданной соли. Если копия PyDCrypt, используемая в атаке, извлекается и отменяется, функция хеширования может быть получена.

Подробнее о шифровании читайте в статье Check Point >>

MosesStaff открыто заявляет, что их мотивация атаковать израильские компании состоит в том, чтобы нанести ущерб путем утечки украденных конфиденциальных данных и шифрования сетей жертвы без требования выкупа. Говоря языком нападающих, их цель - «бороться с сопротивлением и разоблачать преступления сионистов на оккупированных территориях».

Хакеры также управляют Telegram-каналом и имеют учетную запись в Twitter, где объявляют о новых жертвах, которых они добавляют на свой сайт утечек.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
cdel.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: t.me/moses_staff

Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: a06c125e6da566be67aacf6c4e44005e

SHA-1: 131c688dcc9ac8f60407aae6810b32c8c66ac74f

SHA-256: 2aae636691b7d258528d19411d111bc48f36616438e8a8d0b223ecc8b33dd3db

Vhash: 0260e7655d54547474747az25!z

Imphash: 91802a615b3a5c4bcc05bc5f66a5b219

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Topic of Support
 * 

 Thanks: 
 Check Point, BleepingComputer
 Andrew Ivanov (article author)
 Michael Gillespie 
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.