Лучший опыт

В конце января ФБР заблокир ... Андрей Жданов, Group-IB: За шифровальщиком Hive стоит группировка с большими амбициями

Андрей Жданов, Group-IB: За шифровальщиком Hive стоит группировка с большими амбициями...

Андрей Жданов, Group-IB: За шифровальщиком Hive стоит группировка с большими амбициями
Андрей Жданов, Group-IB: За шифровальщиком Hive стоит группировка с большими амбициями

В конце января ФБР заблокировало ресурсы группировки вымогателей Hive, чьими жертвами стали сотни компаний по всему миру. Именно Hive в 2021 году потребовали у концерна MediaMarkt рекордные $ 240 млн. Задолго до операции ФБР эксперты Group-IB смогли изучить изнутри партнерскую программу Hive и взломать шифр вымогателя. О том, как шла эта работа, Cyber Media рассказал один из авторов декриптора, главный специалист Group-IB по анализу вредоносного кода и проактивному поиску угроз Андрей Жданов.

О спикере:

Главный специалист по анализу вредоносного кода и проактивному поиску угроз Лаборатории цифровой криминалистики Group-IB. Автор блогов по реверс-инжинирингу, техническому анализу шифровальщиков Hive, BlackCat, DeadBold, BlackMatter.

Cyber Media: Как Hive попал на ваши радары?

Андрей Жданов: В нашей компании есть подразделение Threat Intelligence (киберразведка), которое как раз занимается отслеживанием кибергруппировок — трекает сетевую инфраструктуру различных прогосударственных и криминальных групп, в том числе и шифровальщиков. Hive появился на радарах TI в июне 2021 года, преступники начали активно себя рекламировать на теневых форумах, хотели нанять к себе на работу пентестеров. Наши специалисты заметили эту активность и взяли их на мониторинг. Я подключился позже, когда понадобилось проанализировать образцы вымогателя.

Cyber Media: Было что-то, что выделяло Hive из общей массы группировок или они являются типичным представителем этой когорты?

Андрей Жданов: Они сразу выделились. В момент их появления REvil и Darkside уже сворачивались, BlackMatter доживал последние дни (REvil, Darkside, BlackMatter входили в топ самых активных шифровальщиков, доступных по модели Ransomware-as-a-Service — прим. ред.). И в это время о себе заявляет новая наглая группировка с большими амбициями, удобным веб-интерфейсом, выгодными условиями для «партнеров». К ним потянулись «партнеры», которые развернули активные кампании, стали требовать большие выкупы.

Cyber Media: То есть сами участники Hive не вели атаки, а только предоставляли сервис?

Андрей Жданов: Да, это чистый RaaS. У них в группе было небольшое количество человек: разработчик, администратор, веб-программист, возможно, еще какие-то помощники. Они разработали программу-вымогатель, запустили сайт для слива данных (Data Leak Site, DLS — прим. ред.), сайт для «партнеров», сайт для жертв – и все. Эту площадку они и сдают за деньги.

Cyber Media: И сколько таких клиентов вы насчитали?

Андрей Жданов: По последней информации, 2-3 сотни.

Cyber Media: Взломать шифр Hive вам удалось, в том числе, благодаря исследовательской работе киберспециалистов из Южной Кореи. Расскажите, как складывалось это взаимодействие?

Андрей Жданов: Мы с ними не взаимодействовали — мы двигаемся параллельно. В конце 2021 года мы выпустили отчет по Hive, который вызвал фидбек в андерграунде и несколько вывел группировку из себя. Они стали переписывать программу, наделали ошибок в реализации случайных чисел, которые мы нашли. В результате в начале 2022 года уже был концептуально готов декриптор.

Что касается коллег из Южной Кореи, их статья была посвящена принципам, по которым Hive шифровал данные. Это теоретическая работа, где они доказали, что криптосхему Hive в принципе можно взломать (криптосхема – комплекс мер для шифрования данных: от сочетания алгоритмов до последовательности операций с целевыми файлами – прим. ред.). Но при этом корейцы рассматривали одну из первых версий шифровальщика, а наш декриптор работал с последней на тот момент, четвертой.

Cyber Media: Обратной совместимости у такого сервиса нет?

Андрей Жданов: Нет, потому что создатели Hive постоянно меняли криптосхему. До какого-то момента они шли по экстенсивному пути: увеличивали размер ключевого потока (сгенерированный случайным образом файл, который используется при подготовке к шифрованию данных – прим. ред.), добавляли сложность, не меняя базовый принцип вплоть до последних версий.

И дело в том, что алгоритм, который они использовали все это время, поддавался расшифровке. Что и показали корейские исследователи в своей работе.

Cyber Media: Как часто такие группировки используют собственные алгоритмы?

Андрей Жданов: Hive как раз этим и отличался, что не шел по простому пути и работал по своему алгоритму на основе простой байтовой XOR-функции. Какой-нибудь BlackCat использует аппаратный AES и, допустим, RSA. Это надежные алгоритмы, которые никто не ставит под сомнение, и возможность расшифровки упирается в то, насколько качественно сгенерированы ключи. А разработчику Hive показалось оригинальным работать через XOR, а потом шифровать ключевой поток сначала множеством ключей RSA — в первых версиях использовалось 100, в следующих было 20. А в 5-ой версии использовался ключевой поток уже размером 13 МБ, для шифрования которого дважды использовались XChaCha20-Poly1305 и обмен ключей с помощью Curve25519. Получился довольно-таки «фриковатый» шифровальщик.

Cyber Media: Звучит довольно энергозатратно.

Андрей Жданов: Да, но это в самом начале шифрования системы происходило, Hive довольно долго эти циклы прогонял. RSA вообще медленный, он не предназначен для шифрования больших данных. Потом же, после генерации и шифрования ключевого потока, он достаточно оперативно шифрует файлы на компьютере.

Cyber Media: По сравнению с другими вымогателями Hive работает быстро?

Андрей Жданов: Когда проводили сравнительные исследования, он показывал довольно впечатляющие результаты, хоть и не занимал первые позиции. Разработчики от версии к версии развивали логику многопоточности: сначала она была реализована стандартными средствами Go, потом они перешли на Rust, стало еще быстрее.

А в последних версиях используется IOCP (Input/Output Completion Port), самый эффективный способ реализации многопоточных операций в Windows. Это сравнительно сложный способ, его используют не все шифровальщики.

Cyber Media: Как в итоге удалось взломать Hive?

Андрей Жданов: За Hive стоят достаточно одиозные фигуры с большими амбициями. Я наблюдал за этим шифровальщиком полтора года, у нас было своеобразное заочное противостояние. Преступники хотели, чтобы их шифровальщика не обнаруживали антивирусы, я их активность долго мониторил, делился с коммьюнити информацией и правилами детектирования.

Cyber Media: С самими разработчиками вы не пересекались, может быть, на теневых форумах?

Андрей Жданов: Нет, они на таких площадках не общались. Когда в 2021 году вышел наш блог, в андерграунде стали над Hive посмеиваться — мол, все про вас расписали, залезли в вашу партнерку. Тогда преступники и переписали программу, наделав ошибок.

Cyber Media: Как полагаете, ваш отчет сыграл в этом роль? Могли они перенервничать и поспешить?

Андрей Жданов: Да, поэтому я и назвал это заочным противостоянием. Группировка явно следила за нашими действиями и действиями других ресерчеров. Я публиковал для коммьюнити новые правила обнаружения — через несколько дней они переставали действовать. И после каждой крупной новости по Hive разработчики дорабатывали и выпускали новую версию.

Cyber Media: Могут ли эксперты таким образом через публичное поле давить на преступников?

Андрей Жданов: С Hive так в итоге и вышло. Когда из-за ошибок разработчиков мы использовали неудачную генерацию случайных чисел, нагромождение ключей RSA перестало играть роль — мы смогли сразу расшифровывать заблокированные данные. Для аналогичных криптосхем по такому принципу работают многие декрипторы: зашифрованный файл сопоставляется с его незашифрованной версией, и так извлекается ключ. Конечная эффективность у нас была на уровне 99,8%.

Cyber Media: Как происходила сама расшифровка? Жертвам нужно было загрузить файл на некий портал, чтобы получить ключ?

Андрей Жданов: Мы предоставляем декриптор клиентам в рамках реагирования на атаку. Так, в частности, мы помогли вернуть данные больнице в Азии – предоставили набор утилит, которые заказчик запускал у себя.

Кстати, когда стали разбираться, увидели, что атакующие тоже осознавали недостатки программы-вымогателя. И они у клиента запускали шифровальщик на машине по 10 раз, чтобы усложнить нам задачу. То есть приходилось подбирать в 10 раз больше ключей.

Cyber Media: Как часто вообще удается взломать шифровальщик и вернуть данные?

Андрей Жданов: Это не является нашим профилем, но нашей команде за год это удалось сделать трижды, в трех независимых кампаниях. У одного клиента при этом удалось расшифровать вообще все пораженные файлы. Это был такой «самопальный» шифровальщик, который ни к какому семейству не относился.

Cyber Media: Многие компании обращаются за такими услугами?

Андрей Жданов: В рамках своей основной деятельности мы реагируем на атаки и помогаем клиентам предупреждать потенциальные инциденты в будущем. Но если при расследовании мы находим возможность расшифровать файлы, мы это, конечно, делаем бесплатно в рамках этого кейса.

Cyber Media: Последний вопрос: расскажите, как стать экспертом по борьбе с шифровальщиками?

Андрей Жданов: Мой основной профиль — это реверс-инжиниринг ПО, определение функций вредоносных программ. То есть я изучаю, как вредоносное ПО обходит защиту, скрывается от антивирусов и так далее. В ходе этого анализа иногда удается найти ключ к расшифровке, и я делюсь этой информацией.

В нашем подразделении есть и специалисты по реагированию (Incident Response), эксперты по архитектуре операционных систем. Самое главное для вирусного аналитика — это интерес к работе 24/7. Как показывают разнообразные челленджи, до конца доходит самый упорный, даже если в какой-то области ему не хватает опыта — знания приходят уже в «бою».

Cyber Media: Какие книги по своей области можете посоветовать?

Андрей Жданов: На моей книжной полке есть достаточно старые труды. Первый — Practical Malware Analysis (Michael Sikorski, Andrew Honig), второй — «Анализ вредоносных программ» Монаппы. Кроме того, можно получать знания из отчетов, в том числе и наших. Если прочитать книги и сформировать теоретическую базу, можно дальше работать с отчетами ИБ-компаний и быть в курсе современных техник.

Чтобы погрузиться в профессию или прокачаться как Digital Forensics Analyst, Incident Responder, Threat Hunter, рекомендуем этот небольшой список литературы: «Книжная полка компьютерного криминалиста: 11 лучших книг по Digital Forensics, Incident Response и Malware Analysis». К этому списку нужно добавить новинки. Например, книгу Светланы Островской и Олега Скулкина «Криминалистика компьютерной памяти на практике». Книга Олега Скулкина “Learning Android Forensics: Analyze Android devices with the latest forensic tools and techniques” должна помочь погрузиться в анализ подобных мобильных устройств.

Четвертая — это дополненное и переработанное издание "Practical Mobile Forensics". Именно эта книга победила в номинации DFIR Book of the Year на 2021 Forensic 4:cast Awards.