Key Group: еще одна группа вымогателей, использующая слитые билдеры

От

Сен 25, 2024

Key Group, или keygroup777, — это финансово-мотивированная группа вымогателей, которая в основном преследует российских пользователей. Группа известна тем, что ведет переговоры с жертвами в Telegram и использует билдер шифровальщика Chaos.

Первый публичный отчет об активности Key Group в 2023 году выпустила компания BI.ZONE — вендор решений в сфере кибербезопасности: злоумышленники привлекли к себе внимание, когда в атаке на российского пользователя оставили записку идеологического характера, в которой не требовали денег. Однако, по данным нашей телеметрии, группа действовала и в 2022 году. При этом и до и после атаки, освещенной в отчете BI.ZONE, злоумышленники требовали перевести деньги на Bitcoin-кошелек.

Мы отследили активность Key Group с начала их атак и обнаружили, что группа использовала не только Chaos, но и другие слитые билдеры шифровальщиков. Проанализировав созданные с их помощью образцы, мы смогли найти на GitHub загрузчики и вредоносные URL, которые показали связь группы с ранее неизвестными злоумышленниками.

Оглавление

Хронология активности Key Group

Первые варианты шифровальщиков из арсенала Key Group были обнаружены в апреле 2022 года. В то время группа использовала исходный код Xorist.

В августе 2022 года Key Group добавила в свой инструментарий билдер Chaos. Примечательно, что 30 июня 2022 года создатель Chaos опубликовал сообщение о запуске партнерской программы RaaS (Ransomware-as-a-Service).

В варианте Chaos к зашифрованным файлам добавлялось новое расширение

.huis_bn, а в записке с требованиями злоумышленники просили отправить сообщение в Telegram. Эта записка содержала информацию как на русском, так и на английском языках и распространялась под названием «КАК РАСШИФРОВАТЬ ФАЙЛЫ»:Attention! All your files are encrypted!
To restore your files and access them,
send an SMS with the text C32d4 to the User Telegram @[redacted]

You have 1 attempts to enter the code. If this
amount is exceeded, all data will irreversibly deteriorate. Be
careful when entering the code!

Glory @huis_bn
Ваши файлы зашифрованы!
Чтобы восстановить свои файлы и получить к ним доступ,
отправьте смс с текстом C32d4 Юзеру Телеграм @[redacted]

Следующие образцы Key Group на основе Chaos были обнаружены в январе 2023 года. На протяжении всего года группа использовала этот шифровальщик, меняя в основном только содержимое записки.

С апреля 2023 года злоумышленники были активны на форуме DarkStore в даркнете. Они атаковали Telegram-каналы спам-рейдами и тестировали общедоступный троянец удаленного доступа NjRat, который имеет функции кейлоггера, стилера, реверс-шелла и распространения через USB.

Летом 2023-го был обнаружен новый образец Chaos от Key Group под названием

warnep.exe (MD5: C2E1048E1E5130E36AF297C73A83AFF6).

Содержимое записки сильно отличалось от предыдущих и носило идеологический характер. Key Group больше не указывала контактную информацию, но объявляла о своих мотивах.

Записка с заявлением группы Key Group

В августе 2023-го мы обнаружили использование группой шифровальщика Annabelle (MD5: 05FD0124C42461EF553B4B17D18142F9).

Шифровальщик Annabelle назван в честь американского фильма ужасов «Проклятие Аннабель». Образец, замеченный в атаках Key Group, шифрует файлы и содержит блокировщик MBR (MBR-Locker, MD5: D06B72CEB10DFED5ECC736C85837F08E), а также следующие встроенные техники обхода средств защиты.

Выключение Windows Firewall:
NetSh Advfirewall set allprofiles state off

Отключение Windows Defender:
HKLMSOFTWAREPoliciesMicrosoftWindows Defender
“DisableAntiSpyware” = 1
“DisableRealtimeMonitoring” = 1

Отключение UAC:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem
“EnableLUA” = 0

Отключение редактора реестра:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem
“DisableRegistryTools” = 0

Отключение команды Run из меню пуска Windows:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer
“NoRun” = 1

Модификация Image File Execution Options путем установки значения RIP вместо пути к отладчику для некоторых процессов, что мешает их корректному запуску:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options[process] “Debugger” = “RIP”

Удаление теневых копий:
“vssadmin delete shadows /all /quiet”

Шифровальщик добавляет расширение

.Keygroup777tg.EXE к зашифрованным файлам. После шифрования он перезагружает компьютер и отображает следующую заставку:

Заставка от Annabelle (отображается непосредственно после шифрования файлов)

Заставка от блокировщика MBR, входящего в шифровальщик Annabelle (отображается после перезагрузки)

Примерно в тот же период в атаках Key Group был обнаружен образец шифровальщика Slam (MD5: 09CE91B4F137A4CBC1496D3791C6E75B). Билдер Slam также стал общедоступным еще в 2021 году.

Шифровальщик Slam использует алгоритм шифрования AES-CBC. Также он использует сервис IP Logger для отслеживания зараженных жертв.

После выполнения, шифровальщик кодировал имена файлов с помощью Base64 и добавлял расширение

.keygroup777tg.

В сентябре 2023 года был обнаружен вайпер на основе билдера RuRansom (MD5: 1FED852D312031974BF5EB988904F64E).

RuRansom — это вайпер, появившийся в 2022 году и нацеленный на Россию. Вредоносная программа написана на .NET и использует алгоритм шифрования AES-CBC для шифрования файлов. Вариант Key Group распространяется под именем «Россия-обновление.docs.exe» с запиской, измененной под цели группы:

Записка с заявлением Key Group (образец RuRansom)

Примерно в то же время, что и экземпляры RuRansom, брендированные под Key Group, в атаках злоумышленников был замечен образец еще одного вымогателя — UX-cryptor. Он также написан на .NET (MD5: 6780495DAD7EB372F1A660811F4894A6).

Вместо шифрования файлов образец завершает процесс

explorer.exe:taskkill.exe /im Explorer.exe /f

Он устанавливает следующий текст на текущем экране, используя метод .NET

System.Windows.Forms.Label.set_Text:

Сообщение от UX-Cryptor

После этого UX-Cryptor дополнительно сохраняет записку с требованием выкупа в файл

info-0v92.txt, используя перенаправление вывода команды echo:cmd.exe /c cd “%systemdrive%UsersPublicDesktop”&attrib +h +s +r +i /D & echo [%RANDOM%] Ooops! Your files are encrypted by the keygroup777tg hacker group! Telegram for contact:
@[redacted] 1>info-0v92.txt & attrib -h +s +r info-0v92.txt

UX-Cryptor включает несколько методов закрепления и защиты от обнаружения. Например, он перезаписывает ключ реестра

SoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU:”SoftwareMicrosoftWindowsCurrentVersionExplorerRunMRUMRUList” = “abc”

Ключ

RunMRU используется специалистами по расследованию компьютерных инцидентов для изучения команд, выполненных через утилиту Run.

В феврале 2024 года группа Key Group переключилась с Chaos на шифровальщик Hakuna Matata (MD5: DA09FCF140D3AAD0390FB7FAF7260EB5). Билдер Hakuna Matata был опубликован в даркнете в июле 2023 года.

Вариант Hakuna Matata шифрует файлы с помощью AES-CBC и добавляет расширение из пяти произвольных символов. Ниже приведен фрагмент процесса выполнения Hakuna Matata в нашей песочнице.

Фрагмент процесса выполнения Hakuna Matata

После шифрования образец сохраняет в системе файл

keygroup777.txt и отсылает к нему в сообщении, установленном в качестве обоев на рабочем столе:

Сообщение Hakuna Matata на рабочем столе

Содержимое записки:

Your Files Have Been Locked With keygroup777 Ransomware
you have to pay Bitcoin for Unlock Process
you can send a little file (less than 1 or 2 mb) for Decryption test (if we assume file is important we may ask you to Send another one)
Contact Us and Pay and get Decryption
Contact Our Email:******@yandex.ru
in Case of no reply from Email send message to my telegram id below
Telegram ID:@[redacted] Your ID:4062********

В начале марта 2024 года мы обнаружили образец Key Group, который основан на шифровальщике Judge/NoCry (MD5: 56F5A95FFA6F89C24E0880C519A2AA50).

Вариант NoCry шифрует файлы с помощью AES-256-CBC, добавляя к ним расширение

.Keygroup777tg. Ключ, который используется для шифрования, генерируется на основе данных системы жертвы и отправляется на сервер C2 в открытом виде, поэтому файлы можно дешифровать без участия атакующих.

Стоит отметить, что вместо адреса сервера C2 Key Group указала ссылку на Telegram-канал

hxxps://t[.]me/s/SBUkr, к которой затем добавлялись данные жертвы с ключом для шифрования в следующем формате:hxxps://t[.]me/s/SBUkr?[username]_[generated_id]=[generated_key]

Тематика канала не связана с вымогателями и представляет собой новости политического характера. Такая схема не предполагает получения данных атакующими.

Определение С2-сервера в коде

Функция отправки запроса на С2-сервер

Детонация Judge/NoCry

Полная хронология использования Key Group различных семейств шифровальщиков представлена ниже.

Использование слитых билдеров Key Group

Доставка и заражение

Для доставки шифровальщиков Chaos и Xorist на компьютер жертвы Key Group использовала многоступенчатые загрузчики.

Мы обнаружили LNK-файл, который, вероятно, распространялся через фишинговые письма. LNK-файл содержал обфусцированную команду PowerShell, которая загружала SFX-архив (самораспаковывающийся архив) с удаленного ресурса:

Деобфусцированная команда:

SFX-архив при распаковке сохранял еще один загрузчик в систему. Он загружал другой SFX-архив, содержащий образец шифровальщика Chaos (MD5: C910DA0BAA2E08CEFCE079D1F7CB3469), а также отдельный загрузчик, скачивающий образец шифровальщика Xorist (MD5: E0C744162654352F5E048B7339920A76).

Содержимое записок двух шифровальщиков было одинаковым.

В октябре 2022 года мы обнаружили еще один загрузчик, который доставлял вариант Chaos (MD5: F93695564B97F03CC95CA242EDCFB5F8). Загрузчик использует метод .NET

WebClient.DownloadData для загрузки шифровальщика (MD5: D655E77841CF6DB3008DCD60C9C5EB18) из репозитория GitHub:hxxps://raw.githubusercontent[.]com/max444432/RMS2/main/dfff.exe

Во время изучения этого репозитория мы нашли уже знакомые нам вайпер RuRansom, шифровальщик Hakuna Matata, а также образец J-Ransomware/LoveYou и троянец удаленного доступа NjRat.

Методы закрепления

Xorist

Первый обнаруженный образец Key Group, шифровальщик Xorist, закреплялся в системе, изменяя ассоциацию расширений файлов. При открытии файла с расширением

.huis_bn, которое добавлялось к зашифрованным файлам, выполнялся запуск шифровальщика:HKLMSOFTWAREClasses.huis_bn = “LGDAGXRNCRZHPLD”

HKLMSOFTWAREClassesLGDAGXRNCRZHPLDshellopencommand =
“C:Users[redacted]AppDataLocalTempfj6qD14qWC1unS2.exe”

Также шифровальщик добавлял себя в автозапуск:

HKLMSOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionRun
“Alcmeter” = “C:Users[redacted]AppDataLocalTempfj6qD14qWC1unS2.exe”

Chaos

Шифровальщик Chaos (MD5: C910DA0BAA2E08CEFCE079D1F7CB3469) копировал себя в

$user$appdatacmd.exe и запускал этот файл как новый процесс. Новый процесс в свою очередь создавал новый файл в папке автозапуска: $user$appdataMicrosoftWindowsStart MenuProgramsStartupcmd.url, содержащий следующее:URL=file:///$user$appdatacmd.exe

Annabelle

Шифровальщик Annabelle добавлял себя в ключи реестра

Run и Winlogon:HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
“UpdateBackup” = “$selfpath”

HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun
“UpdateBackup” = “$selfpath”

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
“Shell” = “$selfpath”

UX-Cryptor

UX-Cryptor добавлял себя в следующие ключи реестра, чтобы сохранить себя в системе:

HKU$usersidSoftwareMicrosoftWindows NTCurrentVersionWinlogon
“Shell” = “$selfpath”

HKU$usersidSoftwareMicrosoftWindowsCurrentVersionRun
“WindowsInstaller” = “$selfpath -startup”
“MSEdgeUpdateX” = “$selfpath”

HKU$usersidSoftwareMicrosoftWindowsCurrentVersionRunOnce
“System3264Wow” = “$selfpath –init”
“OneDrive10293” = “$selfpath /setup”
“WINDOWS” = “$selfpath –wininit”

Дополнительно он добавлял следующие имена исполняемых файлов в автозапуск:

HKU$usersidSoftwareMicrosoftWindowsCurrentVersionRun
“WIN32_1″ =”AWindowsService.exe”
“WIN32_2” = “taskhost.exe”
“WIN32_3” = “windowsx-c.exe”
“WIN32_4” = “System.exe”
“WIN32_5” = “_default64.exe”
“WIN32_6” = “native.exe”
“WIN32_7” = “ux-cryptor.exe”
“WIN32_8” = “crypt0rsx.exe”

Judge/NoCry

Образец NoCry также имеет функцию добавления себя в папку автозапуска:

$user$appdataMicrosoftWindowsStart MenuProgramsStartupsPo90bqY4LpMYsfC.exe

Жертвы

Key Group в основном атакует русскоговорящих пользователей. Записки с заявлениями часто были написаны на русском языке или содержали перевод на русский.

Послание Key Group

Об атакующих

Расширение

.huis_bn, которое добавлялось к зашифрованным файлам в первых версиях образцов Key Group, Xorist и Chaos, отсылает к русскоговорящей закрытой группе huis, известной в теневом сообществе. Группа в основном совершала спам-рейды на Telegram-каналы. Мы предполагаем, что Key Group — это дочерний проект группы huis. На данный момент группа не активна и, согласно последнему сообщению в Telegram, была ребрендирована.

Лого группы huis (источник: tgstat.com)

Мы также проверили репозиторий GitHub, с которого загружались шифровальщики и вайперы. На аккаунт max444432 подписан аккаунт

hxxps://github[.]com/json1c. Его описание содержит следующий контакт в Telegram: hxxps://t[.]me/json1c.

Аккаунты, подписанные на max444432 на GitHub

Описание аккаунта json1c на GitHub

Пользователь Telegram Bloody-Lord Destroyer-Crew, также известный как «блади» и bloody в теневом сообществе, и являлся владельцем группы huis.

Превью аккаунта @json1c в Telegram

В последних версиях шифровальщиков в записках в качестве контакта указывался Telegram-аккаунт

@[redacted] (DarkZeus), который является одним из администраторов канала Key Group:

Превью аккаунта в Telegram

Речь идет о закрытом Telegram-канале. Ранее у группы был также открытый канал

@[redacted], который злоумышленники использовали для коммуникации с жертвами, однако он более недоступен. В нем группа публикует новости о Key Group, новости с других каналов как технического, так и идеологического характера, утечки из других Telegram-источников, объявления о спам-рейдах.

Ссылка с приглашением вступить в закрытый канал Key Group

В репозитории GitHub, который злоумышленники используют для распространения вредоносного ПО, мы также нашли образцы

telegram-raid-botnet.exe (Hakuna Matata) и NoCry, загруженные в феврале 2024-го. Название первого образца перекликается с деятельностью группы huis.

Коммиты загрузки образцов в репозиторий RMS2

В одной из записок с требованием выкупа (MD5 Chaos: 7E1577B6E42D47B30AE597EEE720D3B1) злоумышленники просили not to touch Nikita’s channels, bloody and nacha («не трогать каналы Никиты, bloody и nacha»), что, опять же, указывает на связь с huis:

I am the owner of keygroup777 and I was enraged by the work of the telegram technical support, there is no
point in paying a ransom, only the contract Pavel Durov if you want to stop it, write [redacted] and I ask you not to touch Nikita’s channels, bloody and nacha will be much worse
time goes by, hello from Root)
and quote Durov, Everything is just beginning – knees will become your only pose.

Выводы

Как мы видим, Key Group, как и многие хактивисты, не разрабатывает собственное вредоносное ПО, а активно использует слитые билдеры программ-вымогателей, а основным каналом C2 является репозиторий GitHub, что позволяет легко отследить их деятельность. При этом стоит отметить, что исходный код программ-вымогателей все чаще становится общедоступным и количество групп, использующих утекшие билдеры или исходный код шифровальщиков, увеличивается. В дальнейшем, вероятнее всего, таких групп будет еще больше.