Исследователи компании Cybereason детально изучили шифровальщик ONI, атакующий японский средний и малый бизнес, и пришли к выводу, что малварь может оказаться вайпером, созданным для сокрытия других атак. Интересно, что в японском языке Oni означает "дьявол".
Аналитики Cybereason обнаружили ONI далеко не первыми, первые отчеты об этом вымогателе появились еще летом 2017 года. Однако тогда эксперты так и не сумели понять, как распространится ONI и приняли угрозу за довольно заурядного шифровальщика. Теперь в Cybereason обнаружили, что все системы, где был обнаружен ONI, ранее подвергались направленным атакам и таргетированному фишингу, в результате чего оказывались заражены трояном удаленного доступа (Remote Access Trojan). Злоумышленники маскировали свои письма под финансовую документацию, присылая намеченным жертвам вредоносные файлы Word с VBScript внутри.
Хотя преступники использовали инструмент Ammyy Admin, который не является трояном сам по себе (это легитимная утилита), эксперты подчеркивают, что в данном случае он применялся именно как троян, для получения полного и скрытого доступа к системе. Согласно данным Cybereason, самые ранние копии Ammyy Admin на компьютерах пострадавших датированы декабрем 2016 года.
Чем именно занимались злоумышленники, после проникновения в чужие системы, не совсем ясно. Известно лишь, что атакующие получали контроль над контроллером домена и серверами пострадавших. «Можно с уверенностью предположить, что за те месяцы, которые длилась хакерская операция, происходила эксфильтрация конфиденциальных данных», — пишут аналитики.
Шифровальщик ONI злоумышленники задействовали в последнюю очередь. Так как преступники имели доступ к контроллеру домена, они задействовали скрипты групповых политик (Group Policy Scripts) и исполняли пакетный файл, который «зачищал» более 460 различных журналов событий, чтобы замести все следы. После этого в дело вступал ONI, который дополнительно зашифровывал файлы в зараженных системах. Из-за этого анализ пострадавших систем сильно затруднен, но исследователи полагают, что для распространения малвари внутри сетей организаций мог использоваться эксплоит EternalBlue.
В свете обнаруженных фактов, специалисты полагают, что ONI может оказаться даже не вымогателем, но вайпером (wiper, от английского wipe — «стирать»). Так, исследователи пишут, что злоумышленники задействовали две версии ONI. Первая версия основана на базе малвари GlobeImposter и использовалась для рядовых компьютеров, где действительно шифровала файлы, меняя расширение на .oni, после чего требовала выкуп. Однако оказалось, что существует и вторая версия, которая использовалась лишь для избранных, особенно важных машин. Этот вариант эксперты называют MBR-ONI, так как помимо шифрования пользовательских файлов, он подменяет MBR, из-за чего вместо загрузки Windows жертва видит лишь защищенный паролем экран с требованием выкупа.
MBR-ONI, равно как нашумевший недавно шифровальщик Bad Rabbit, использует для работы легитимную программу DiskCryptor. При этом, в отличие от того же NotPetya, MBR-ONI не повреждает MBR умышленно и безвозвратно, то есть теоретически восстановить данные все же возможно. Впрочем, специалисты Cybereason признают, что им неизвестно о случаях выплаты выкупа и удачного спасения информации, так как масштаб распространения угрозы в целом не слишком велик, и злоумышленники, вероятнее всего, использовали MBR-ONI именно в качестве вайпера, то есть ни в каком случае не планировали помогать пострадавшим.
