YanluoWang

YanluoWang Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в несколько BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Используется криптографическая библиотека с открытым исходным кодом Crypto++. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34762
BitDefender -> Trojan.GenericKD.38174063, Trojan.GenericKD.47564204
ESET-NOD32 -> A Variant Of Win32/Filecoder.OJO
Kaspersky -> HEUR:Trojan-Ransom.Win32.Agent.gen, Trojan-Ransom.Win32.Yanluowang
Malwarebytes -> Malware.AI.113840946, Malware.AI.2179639917
Microsoft -> Ransom:Win32/Yanluow.A, Ransom:Win32/Yanluow.STA
Rising -> Ransom.Agent!8.6B7 (CLOUD)

Symantec -> Ransom.Yanluowang
Tencent -> Malware.Win32.Gencirc.11de89cb, Win32.Trojan.Malware.Bthe
TrendMicro -> Ransom.Win32.YANLUOWANG.THLOCBA
---

© Генеалогия: Thieflock RaaS + безымянные варианты >> YanluoWang

Сайт "ID Ransomware" идентифицирует это как Yanluowang. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в августе-сентябре, в начале октября и продолжилась в ноябре 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .yanluowang

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:

Hi, since you are reading this it means you have been hacked.

In addition to encrypting all your systems, deleting backups, we also downloaded 2 terabytes of confidential information. 

Here's what you shouldn't do: 

1) Contact the police, fbi or other authorities before the end of our deal

2) Contact the recovery company so that they would conduct dialogues with us. (This can slow down the recovery, and generally put our communication to naught)

3) Do not try to decrypt the files yourself, as well as do not change the file extension yourself !!! This can lead to the impossibility of their decryption.

4) Keep us for fools)

We will also stop any communication with you, and continue DDoS, calls to employees and business partners.

In a few weeks, we will simply repeat our attack and delete all your data from your networks, WHICH WILL LEAD TO THEIR UNAVAILABILITY!

Here's what you should do right after reading it:

1) If you are an ordinary employee, send our message to the CEO of the company, as well as to the IT department

2) If you are a CEO, or a specialist in the IT department, or another person who has weight in the company, you should contact us within 24 hours by email.

We are ready to confirm all our intentions regarding DOOS, calls, and deletion of the date at your first request.

As a guarantee that we can decrypt the files, we suggest that you send several files for free decryption.

Mails to contact us: 

1) *** 

2) *** 

Перевод записки на русский язык:

Привет, раз вы это читаете, значит, вас взломали.

Кроме шифрования всех ваших систем, удаления резервных копий, мы также загрузили 2 терабайта конфиденциальной информации.

Вот чего не следует делать:

1) Связываться с полицией, ФБР или другими органами до завершения нашей сделки

2) Связываться с компанией по восстановлению, чтобы они вели с нами диалог. (Это может замедлить восстановление и вообще свести на нет наше общение)

3) Не пытайтесь сами расшифровать файлы, а также сами не меняйте расширение файла !!! Это может привести к невозможности их расшифровки.

4) Не держите нас за дураков)

Мы также прекратим любое общение с вами и продолжим DDoS-атаки, звонки сотрудникам и деловым партнерам.

Через несколько недель мы просто повторим нашу атаку и удалим все ваши данные из ваших сетей, ЧТО ПРИВЕСТИ К ИХ НЕДОСТУПНОСТИ!

Вот что вам следует сделать сразу после его прочтения:

1) Если вы рядовой сотрудник, отправьте наше сообщение генеральному директору компании, а также в ИТ-отдел

2) Если вы генеральный директор, специалист ИТ-отдела или другое лицо, имеющее вес в компании, вы должны связаться с нами в течение 24 часов по электронной почте.

Мы готовы подтвердить все наши намерения относительно DDOS, звонков и удаления даты по вашему первому запросу.

В качестве гарантии того, что мы сможем расшифровать файлы, мы предлагаем вам отправить несколько файлов для бесплатной расшифровки.

Почта для связи с нами:

1) *** 

2) *** 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 



➤ По данным исследователей в большинстве случаев используется PowerShell для загрузки инструментов в скомпрометированные системы для разведке. Затем злоумышленники включают RDP через реестр, чтобы обеспечить удаленный доступ. После получения начального доступа злоумышленники обычно развертывают ConnectWise (ранее известный как ScreenConnect), легитимный инструмент удаленного доступа. Для горизонтального перемещения и идентификации интересующей системы, к примеру сервер Active Directory жертвы, злоумышленники развертывают Adfind, бесплатный инструмент, который можно использовать для запроса Active Directory, и SoftPerfect Network Scanner (netscan.exe), общедоступный инструмент, используемый для обнаружения имен хостов и сетевых служб.

➤ Для кражи учётных данных и хищения другой информации используются различные инструменты:

GrabFF: для сброса паролей из Firefox; 

GrabChrome: для сброса паролей из Chrome; 

BrowserPassView: для сброса паролей из Internet Explorer и других браузеров;

KeeThief: для копирования главного ключа из KeePass;

FileGrab: для захвата экрана и эксфильтрации файлов;

и другие. 

➤ Использует скрипт PowerShell, в очередной раз подтверждая вредоносность этой технологии. В командной оболочке использует команду NET STOP для остановки системных служб ОС Windows. 

/c powershell -command "Get-VM | Stop-VM -Force"

cmd.exe

net stop MSSQLServerADHelper100

net stop MSSQL$ISARS

net stop MSSQL$MSF

net stop SQLAgent$ISARS

net stop SQLAgent$MSF

net stop SQLBrowser

net stop ReportServer$ISARS

net stop SQLWriter

net stop WinDefend

net stop mr2kserv

net stop MSExchangeADTopology

net stop MSExchangeFB

net stop MSExchangeIS

net stop MSExchangeS

net stop ShadowProtectSvc

net stop SPAdminV4

net stop SPTimerV4

net stop SPTraceV4

net stop SPUserCodeV4

net stop SPWriterV4

net stop SPSearch4

net stop IISADMIN

net stop firebirdguardiandefaultinstance

net stop ibmiasrw

net stop QBCFMonitorService

net stop QBVSS

net stop QBPOSDBServiceV12

net stop "IBM Domino Server (CProgramFilesIBMDominodata)"

net stop "IBM Domino Diagnostics (CProgramFilesIBMDomino)"

net stop "Simply Accounting Database Connection Manager"

net stop QuickBooksDB1

net stop QuickBooksDB2

net stop QuickBooksDB3

net stop QuickBooksDB4

net stop QuickBooksDB5

net stop QuickBooksDB6

net stop QuickBooksDB7

net stop QuickBooksDB8

net stop QuickBooksDB9

net stop QuickBooksDB10

net stop QuickBooksDB11

net stop QuickBooksDB12

net stop QuickBooksDB13

net stop QuickBooksDB14

net stop QuickBooksDB15

net stop QuickBooksDB16

net stop QuickBooksDB17

net stop QuickBooksDB18

net stop QuickBooksDB19

net stop QuickBooksDB20

net stop QuickBooksDB21

net stop QuickBooksDB22

net stop QuickBooksDB23

net stop QuickBooksDB24

net stop QuickBooksDB25

Использует команду taskkill для завершения процессов по идентификаторам или именам исполняемых файлов. 

taskkill /f /im mysql*

taskkill /f /im dsa*

taskkill /f /im veeam*

taskkill /f /im chrome*

taskkill /f /im iexplore*

taskkill /f /im firefox*

taskkill /f /im outlook*

taskkill /f /im excel*

taskkill /f /im taskmgr*

taskkill /f /im tasklist*

taskkill /f /im Ntrtscan*

taskkill /f /im ds_monitor*

taskkill /f /im Notifier*

taskkill /f /im putty*

taskkill /f /im ssh*

taskkill /f /im TmListen*

taskkill /f /im iVPAgent*

taskkill /f /im CNTAoSMgr*

taskkill /f /im IBM*

taskkill /f /im bes10*

taskkill /f /im black*

taskkill /f /im robo*

taskkill /f /im copy*

taskkill /f /im sql

taskkill /f /im store.exe

taskkill /f /im sql*

taskkill /f /im vee*

taskkill /f /im wrsa*

taskkill /f /im wrsa.exe

taskkill /f /im postg*

taskkill /f /im sage*

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа;
49d828087ca77abc8d3ac2e4.exe - случайное название вредоносного файла;

ConsoleApplication2.pdb

rijndael_simd.cpp

gf2n_simd.cpp

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\111\Desktop\wifi\project\ConsoleApplication2\Release\ConsoleApplication2.pdb

C:\Users\User\AppData\Local\Temp\49d828087ca77abc8d3ac2e4.exe

C:\Users\cake\Desktop\project-main\project-main\ConsoleApplication2\cryptopp-master\rijndael_simd.cpp

C:\Users\cake\Desktop\project-main\project-main\ConsoleApplication2\cryptopp-master\gf2n_simd.cpp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: адреса скрыты исследователями 
BTC: не показаны исследователями 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: ba95a2f1f1f39a24687ebe3a7a7f7295

SHA-1: b4da6af343b27594fee7109a02ef699ba52f6e46

SHA-256: 49d828087ca77abc8d3ac2e4719719ca48578b265bbb632a1a7a36560ec47f2d

Vhash: 035056655d555560c3z42z63hz1lz

Imphash: 380467bc2cc16b8ce64d4802632fe491

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: afaf2d4ebb6dc47e79a955df5ad1fc8a

SHA-1: c418ce055d97928f94ba06b5de8124a601d8f632

SHA-256: d11793433065633b84567de403c1989640a07c9a399dd2753aaf118891ce791c

Vhash: 045056655d555560c3z42z63hz1lz

Imphash: 380467bc2cc16b8ce64d4802632fe491

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message 
 Write-up, Write-up, Topic of Support
 * 

18 апреля 2022 года. Файлы можно расшифровать. 
Поддержка расшифровки добавлена в RannohDecryptor 
Ссылки для загрузки:
https://support.kaspersky.ru/8547
https://support.kaspersky.com/8547

 Thanks: 
 Symantec, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

AstraLocker

AstraLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп $50 в # XMR или BTC, чтобы вернуть файлы. Оригинальное название: AstraLocker Ransomware. На файле написано: AstraLocker.exe.
---
Обнаружения:
DrWeb -> Trojan.ClipBankerNET.7, Trojan.Encoder.34437
BitDefender -> IL:Trojan.MSILZilla.5554
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AGP
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Ransom.Chaos
Microsoft -> Ransom:MSIL/ApisCryptor.PAA!MTB, Ransom:MSIL/FileCoder.AD!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)

Symantec -> Ransom.Sorry
Tencent -> Msil.Trojan.Agent.Llrh
TrendMicro -> Ransom_ApisCryptor.R002C0DHK21, Ransom.MSIL.ASTRA.SMLKC
---

© Генеалогия: ✂ HiddenTear, ✂ Chaos >> AstraLocker => AstraLocker 2.0

© Генеалогия: AstraLocker + ✂ Babuk => AstraLocker 2.0

Символ => здесь означает переход на другую разработку. В данном случае AstraLocker 2.0 основан на утекшем в Сеть исходном коде Babuk Locker Ransomware. 

Сайт "ID Ransomware" идентифицирует AstraLocker как Chaos Ransomware. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине августа 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .AstraLocker

Записка с требованием выкупа называется: read_it.txt

Содержание записки о выкупе:

***************************

*                AstraLocker             *

***************************

All of your files have been encrypted

Your computer was infected with a ransomware virus. Your files have been encrypted and you won't be able to decrypt them without my help.

What can I do to get my files back?

You can buy my decryption software, this software will allow you to recover all of your data and remove the Ransomware from your computer.

The price for the software is 50$. Payment can be made in Monero, or Bitcoin (Cryptocurrency) only.

How do I pay, where do I get Monero?

Purchasing Monero or Bitcoin varies from country to country, you are best advised to do a quick google search yourself to find out how to buy Monero or Bitcoin.

Amount of Monero to pay: 0.20 XMR (Monero)

Monero Address: 47moe29QP2xF2myDYaaMCJHpLGsXLPw14aDK6F7pVSp7Nes4XDPMmNUgTeCPQi5arDUe4gP8h4w4pXCtX1gg7SpGAgh6qqS

Bitcoin Addres: bc1qel4nlvycjftvvnw32e05mhhxfzy7hjqkjh82ez

After payment contact: AstraRansomware@protonmail.com for decryptor

***************************

*                AstraLocker             *

***************************

Перевод записки на русский язык:

***************************

*                AstraLocker             *

***************************

Все ваши файлы зашифрованы

Ваш компьютер заражен вирусом-вымогателем. Ваши файлы зашифрованы, и вы не сможете расшифровать их без моей помощи.

Что я могу сделать, чтобы вернуть свои файлы?

Вы можете купить мою программу для расшифровки, эта программа позволит вам восстановить все ваши данные и удалить Ransomware с вашего компьютера.

Цена софта 50$. Оплата может быть произведена только в Monero или Bitcoin (криптовалюта).

Как я могу заплатить, где я могу получить Monero?

Покупка Monero или Bitcoin варьируется от страны к стране, вам лучше всего выполнить быстрый поиск в Google самостоятельно, чтобы узнать, как купить Monero или Bitcoin.

Сумма Monero для оплаты: 0.20 XMR (Monero)

Адрес Монеро: 47moe29QP2xF2myDYaaMCJHpLGsXLPw14aDK6F7pVSp7Nes4XDPMmNUgTeCPQi5arDUe4gP8h4w4pXCtX1gg7SpGAgh6qqS

Биткойн-адрес: bc1qel4nlvycjftvvnw32e05mhhxfzy7hjqkjh82ez

После оплаты контакт: AstraRansomware@protonmail.com для расшифровки

***************************

*                AstraLocker             *

***************************

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
read_it.txt - название файла с требованием выкупа;
AstraLocker.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: AstraRansomware@protonmail.com
BTC: bc1qel4nlvycjftvvnw32e05mhhxfzy7hjqkjh82ez

XMR (Monero):

47moe29QP2xF2myDYaaMCJHpLGsXLPw14aDK6F7pVSp7Nes4XDPMmNUgTeCPQi5arDUe4gP8h4w4pXCtX1gg7SpGAgh6qqS

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 36c5d6b54ae35efed69419ac27585ad6

SHA-1: cb029dfb52583feff8708f4ca4767705aee505b6

SHA-256: 7b2d5c54fa1dbf87d7de17bf0bf0aa61b81e178a41b04e14549fb9764604f54c

Vhash: 21503615151b00714f0034

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

AstraLocker Ransomware - август 2021

AstraLocker 2.0 Ransomware - 2022

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 GrujaRS
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Karakurt

Karakurt Extortion Group

Karakurt Hacking Team

Karakurt Doxware

Karakurt Ransomware

(хакеры-вымогатели, доксеры, публикаторы) (первоисточник на русском)
Translation into English

Эти хакеры-вымогатели не шифрует данные бизнес-пользователей, но атакуют их ресурсы, похищают данные, а затем требует выкуп, чтобы вернуть файлы, не опубликовав их для всеобщего обозрения. Оригинальное название группы-вымогателей: Karakurt Hacking Team (KHT). Суммы выкупа: от 45000 до 1 миллиона долларов в криптовалюте. Позже исследователи выяснили, что Karakurt может быть связана с Conti Ransomware Group. 
---

Сайт "ID Ransomware" идентифицирует это как Karakurt. 

Информация для идентификации

Активность этой группы хакеров-вымогателей началась с июня 2021 г. и продолжалась в течение года. Пик хакерских атак пришелся на третий квартал. Так, в период с сентября по ноябрь 2021 года от этой группы пострадало более 40 компаний в различных отраслях. Группа KHT нацелена на мелкие предприятия или дочерние компании, а не на крупные корпорации. Большинство известных жертв находятся в Северной Америке (95%), а остальные 5% - в Европе.

Группа хакеров-вымогателей отправляет пострадавшей компании и её клиентам/партнерам персонифицированные сообщения о выкупе. Это может быть файл readme.txt или с другим названием. 

Примерное содержание: 

We breached your internal network and took control over all of your systems.

---

We exfiltrated anything we wanted 100 GB (including Private & Confidential information, Intellectual Property, Customer Information and most important Your TRADE SECRETS)

Полное содержание записки включает сообщение о том, что компьютер жертвы был взломан командой Каракурт, угрозы публикации или продажи украденных данных на аукционе. Инструкции включают ссылку на TOR-сайт с кодом доступа. После ввода кода доступа на сайте открывается чат поддержки, где жертвы могут договориться с операторам Каракурта об оплате за удаление их данных. 

Украденные данные включают информацию, позволяющую установить личность (PII): трудовые книжки, медицинские и финансовые деловые записи. Жертвы в хоже переговоров получают скриншоты, показывающие файловые деревья украденных данных или настоящие копии украденных файлов. Достигнув соглашения с жертвами о цене украденных данных, деятели Каракурта предоставляют им новый биткойн-адрес, на который нужно сделать платеж. Получив выкуп, вымогатели предоставляют доказательства удаления украденных файлов, например, запись экрана удаляемых файлов, журнал удаления или учетные данные для входа жертвы на сервер хранения и самостоятельного удаления своих файлов. 

В некоторых подтвержденных случаях группа Karakurt занималась вымогательством у жертв, ранее атакованных другими вымогателями. Мы не знаем наверняка и можем только предположить два различных варианта: 

а) группа Karakurt получила (перекупила) украденные данные у других вымогателей, а вторичная утечка украденных данных произошла не по их вине; 

б) группа Karakurt еще кому-то передала (продала) данные, за которые получила выкуп. 

Группа Karakurt является по сути "всеядной", среди пострадавших различные производства, компании и сервисы, работающие в следующих областях:

Architecture/Design - Архитектура, дизайн

Audit & Accounting - Аудит и бухгалтерский учет

Biotechnology - Биотехнологии

Building & Construction - Строительство зданий

Design - Дизайн

Design Services - Дизайнерские услуги

Energy - Энергетика

Enviromental Services - Экологические услуги

Food & Beverages - Еда и напитки

Food Equipment - Пищевое оборудование

Hospitality - Обслуживание гостей

Industrial - Промышленность

Manufacturing - Производство

Medical Services - Медицинские услуги

Online Retailer - Интернет-магазины

Property Rentals - Аренда недвижимости

Real Estate - Недвижимость

Services - Услуги

Sports - Спорт

Sports Industry - Спортивная индустрия

Technology - Технологии

Transport Logistics - Транспортная логистика

В июне 2021 года хакеры из Karakurt Hacking Team зарегистрировали два домена, а в августе завели страницу в Twitter под ником KarakurtLair. Первоначально было известно, что они не использовали ransomware для шифрования файлов своих жертв, но они крали данные и требовали выкуп, чтобы не публиковать украденные данные. 

Изображение с сайта хакеров-вымогателей

Страницы сайта хакеров-вымогателей

 

Содержание страницы "ABOUT":

We thought for a long time what to write on this page. Since you're here - you've got the point by now, right? You probably think that we are nothing more than another team of online scammers trying to make money. In part, this is probably true, but for us the situation looks different. So how are we different in our opinion? We strongly condemn the low threshold of knowledge required now to implement attacks on commercial networks, hacking turns into a routine work, frameworks have simplified the process to trivial button presses. For our part, we try to approach our work as creatively as possible, improving various techniques and deeply immersing ourselves in the study of products related to modern information security tools. If you've been the victim of a hack and data theft, don't be in a rush to blame your security team, it just wasn't their day. The budgets that you spend on the purchase of protective equipment and software can only complicate our work, they can never completely protect you, but we, for our part, love complex tasks very much.

Now a few words on the case. We do not try to harm your processes, delete your data, destroy your business, at least until you yourself give us a reason. We never attack the same target twice. We always adhere to the agreements we have concluded. We do not bargain, never bargain, never bargain at all. The reason is simple - spending considerable time researching the obtained data, including financial indicators, we always know how much you are able to pay so that you do not have to delay salaries or cancel any projects. We know how long it will take for you. Don't try to deceive us. The final storage points for your data are disconnected from the Internet, so you won't be able to localize them and deny us access to them.

Sofisticated. Evasive. Deep. Persistent.

На момент первичной подготовки статьи на сайте хакеров-вымогателей было 4 пресс-релиза. Зная, что со временем сайт может оказаться недоступен, мы сделали скриншоты страниц сайта. Его содержание выглядит довольно примечательным, благодаря использованным иллюстрациям нидерландского художника Иеронима Босха. 

Вот страницы каждого из них.

Сначала мы хотели опубликовать текст, но потом, посоветовавшись с коллегами, решили оставить только скриншоты. Но текст, написанный вымогателями, сам по себе интересен. Вот наш перевод на русский язык некоторой части этого текста. 

Уважаемые посетители, клиенты и журналисты.

Рады представить вашему вниманию массу компаний из разных отраслей, которые подверглись взлому... 

***

У этих компаний было достаточно времени, чтобы решить свои проблемы, но они предпочли промолчать. Их много раз предупреждали о последствиях.

Тем временем наша компания готовит полный список данных, которые мы получили от каждой жертвы. Вскоре после этого вы сможете детально изучить его и принять решение, заинтересованы ли вы в участии в нашем интернет-аукционе или нет. И да, он существует, и для начала нужно всего 3 участника.

***

Мы всегда стараемся сделать все возможное, чтобы сохранить конфиденциальность компании с самого начала, как будто утечки данных никогда не было. У этих компаний был выбор: держать все в секрете или публично раскрыть. Наши жертвы выше решили быть наказанными.

***

Хотите верьте, хотите нет, но наша команда с самого начала работает в интересах каждой компании. К сожалению, не все компании понимают этот момент. В результате они попадают в наш черный список. Наши уважаемые клиенты, пожалуйста, выберите свою судьбу…

***

Если вас интересует более конкретная информация о компании, не забудьте принять участие в нашем закрытом аукционе. Просто заполните контактную форму, и мы поможем вам зарегистрироваться.

***

Итак, как вы все видите, разнообразие наших жертв непредсказуемо. Любая компания может быть атакована. Некоторые дела будут такими же серьезными, как и их будущие последствия, из-за игнорирования нашего сообщения. На данный момент у нас есть 3 утечки больших данных, которые будут опубликованы отдельно и содержат некоторую интересную информацию.

Пожалуйста, оставайтесь с нами и следите за нашими обновлениями. Наши американские горки ускоряются.

Внимание! Новые элементы, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Вредоносные инструменты, которые используют хакеры-вымогатели, могут распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся доксингу:
Нет специального списка, все зависит от объекта нападения и конкретной цели. 

Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Инструменты группы: 

KHT сначала использует учётные данные VPN для получения первоначального доступа к сети жертвы. В известных атаках хакеры использовали Cobalt Strike и AnyDesk, а после получения доступа инструменты повышения привилегий, в том числе Mimikatz или PowerShell для кражи ntds.dit, содержащего данные Active Directory. Во время кражи данных группа использовала 7zip и WinZip для сжатия и Rclone или FileZilla (SFTP) для загрузки данных в облачное хранилище Mega.io, а также легитимные инструменты Microsoft. 

Сетевые подключения и связи:

Twitter: The Karakurt Team (@KarakurtLair)

URL: hxxxs://karakurt.group/

URL: hxxxs://karakurt.tech/

URL: hxxxs://karakurt.co/

Tor-URL: hxxxs://omx5iqrdbsoitf3q4xexrqw5r5tfw7vp3vl3li3lfo7saabxazshnead.onion

Email: karakurtlair@gmail.com

mark.hubert1986@gmail.com

personal.information.reveal@gmail.com

ripidelfun1986@protonmail.com

gapreappballye1979@protonmail.com

confedicial.datas.download@protonmail.com

armada.mitchell94@protonmail.com

---

BTC: вероятно кошелек новый для каждой жертвы, вот небольшой список:

bc1qfp3ym02dx7m94td4rdaxy08cwyhdamefwqk9hp

bc1qw77uss7stz7y7kkzz7qz9gt7xk7tfet8k30xax

bc1q8ff3lrudpdkuvm3ehq6e27nczm393q9f4ydlgt

bc1qenjstexazw07gugftfz76gh9r4zkhhvc9eeh47

bc1qxfqe0l04cy4qgjx55j4qkkm937yh8sutwhlp4c

bc1qw77uss7stz7y7kkzz7qz9gt7xk7tfet8k30xax

bc1qrtq27tn34pvxaxje4j33g3qzgte0hkwshtq7sq

bc1q25km8usscsra6w2falmtt7wxyga8tnwd5s870g

bc1qta70dm5clfcxp4deqycxjf8l3h4uymzg7g6hn5

bc1qrkcjtdjccpy8t4hcna0v9asyktwyg2fgdmc9al

bc1q3xgr4z53cdaeyn03luhen24xu556y5spvyspt8

bc1q6s0k4l8q9wf3p9wrywf92czrxaf9uvscyqp0fu

bc1qj7aksdmgrnvf4hwjcm5336wg8pcmpegvhzfmhw

bc1qq427hlxpl7agmvffteflrnasxpu7wznjsu02nc

bc1qz9a0nyrqstqdlr64qu8jat03jx5smxfultwpm0

bc1qq9ryhutrprmehapvksmefcr97z2sk3kdycpqtr

bc1qa5v6amyey48dely2zq0g5c6se2keffvnjqm8ms

bc1qx9eu6k3yhtve9n6jtnagza8l2509y7uudwe9f6

bc1qtm6gs5p4nr0y5vugc93wr0vqf2a0q3sjyxw03w

bc1qta70dm5clfcxp4deqycxjf8l3h4uymzg7g6hn5

bc1qx9eu6k3yhtve9n6jtnagza8l2509y7uudwe9f6

bc1qqp73up3xff6jz267n7vm22kd4p952y0mhcd9c8

bc1q3xgr4z53cdaeyn03luhen24xu556y5spvyspt8

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Новость от 10 января 2022:

Karakurt Hacking Team атакует канадские организации. 

Ссылка на статью >>

Сообщение от 8 апреля 2022: 
Исследование Infinitum IT о связи Conti Ransomware и Karakurt Extortion Group. Ссылка на статью >> 

Сообщение от 15 апреля 2022: 

Выявлена связь Karakurt Extortion Group с Conti Ransomware Group.

Статья на сайте Arctic Wolf >>

Статья на сайте Bleeping Computer >>

После получения доступа к внутреннему VPS-серверу, которыми управляют киберпреступники, исследователи безопасности обнаружили связь между Conti Ransomware и хакерской группой Karakurt, и считают, что обе группы взаимосвязаны.

---

Для справки: VPS-сервер размещен у провайдера Inferno Solutions, работающего в Украине и в России, который поддерживает анонимные способы оплаты и принимает заказы через соединения VPN и TOR. Юридический адрес компании Inferno Solutions: 22 Brоndesbury Park, Willesden, London, NW6 7DL. 

Управление и техническая поддержка предоставляется подставной компанией, которая ведет свою деятельность якобы из России. 

Когда файлы шифровальщика Conti Ransomware блокируются и атака не переходит в стадию шифрования, хакеры Karakurt используют похищенную информацию для вымогательства данных через свои сайты. 

В отчете компании по кибербезопасности Arctic Wolf говорится, что в ходе расследования дела клиента, который ранее заплатил Conti за разблокировку своих данных, было обнаружено, что указанный клиент был позже взломан группой Karakurt через бэкдор Cobalt Strike, оставленный группой Conti Ransomware.

Компания по анализу блокчейнов Chainalysis обнаружила платёжные адреса жертв Karakurt, размещенные в кошельке Conti, что указывает на то, что обе группы управляются из одного центра.

Диапазон IP-адресов 209.222.98.19 - 209.222.98.255, который по словам исследователей принадлежит хакерам, на самом деле зарегистрирован в Филадельфии (США).  

Интересная картина: эти исследования, сами того не желая, доказывают, что 

- российский след группы Conti — фиктивный, диалоги переписки хакеров - пустой набор фраз и букв; 

- Conti и Karakurt управляются из Великобритании, базируются в США, переводят подконтрольные биткоины на кошельки, которые сливаются в один, который тоже находится в одной из этих стран. 

Или придется поверить, что русские хакеры управляют C&C и серверами этих стран как своими собственными, что мало вероятно. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 Added later: Write-up, Write-up, Write-up, Alert (AA22-152A)

 Thanks: 
 Michael Gillespie (pre info)
 Andrew Ivanov (article author)
 Accenture Security, BleepingComputer
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.