«Открытие этого файла запускает цепочку событий, приводящих к заражению системы вымогательским ПО Fog Ransomware», — поясняет киберэксперт. Схема атаки включает в себя перенаправление на сервер Netlify, загрузку ZIP-архива с вредоносным ярлыком и выполнение серии PowerShell-скриптов.
«Первый скрипт (‘Pay.ps1’) загружал компоненты, включая ‘stage1.ps1’ и ‘trackerjacker.ps1’. Последний использовал XOR-обфускацию для сокрытия от обнаружения и выполнял разведку системы. Дополнительно скрипт ‘lootsubmit.ps1’ собирал геолокационные данные с помощью API WIGLE (Wireless Geographic Logging Engine). Основной вредоносный компонент, ‘cwiper.exe’, шифровал файлы жертвы, а ‘ktool.exe’ использовал уязвимость в драйверах Intel для получения доступа на уровне ядра», — добавила Ирина Дмитриева.
Особенностью атаки, по рассказу Дмитриевой, была насмешливая записка с требованием выкупа, подписанная именем «Эдвард Користин», связанным с криптовалютой DOGE. Записка содержала сатирические комментарии в адрес сторонников Маска и указывала правительственные электронные адреса в качестве контактов для поддержки. При запуске вредоносного ПО воспроизводилось видео на YouTube, высмеивающее Илона Маска, что служило отвлекающим манёвром для сбора и эксфильтрации конфиденциальных данных.
Несмотря на политический подтекст, RansomDOGE преследует финансовые цели и использует кошелек Monero для получения выкупа. «Злоумышленники сочетают техническую подкованность с социальной инженерией, используя политический контекст как прикрытие», — подчёркивает Дмитриева.
«В таких инцидентах при атаках на пользователей компании ярко проявляется ценность экспертной команды SOC. В кейсе "RansomDOGE" при идеальной стратегии защиты, если политическая мотивация может применяться в отношении компании или используется криптовалюта, важно моментально распознать поведенческие шаблоны, проанализировать обфускацию и разработать сигнатуры для обнаружения ‘cwiper.exe’ и аномалий, связанных с использованием уязвимых драйверов Intel. Наши аналитики GSOC компании "Газинформсервис" могут не просто фиксировать угрозу — они анализируют каждую ниточку схемы атаки, от первой строки PowerShell до механизмов перехвата на уровне ядра. Аналитики занимаются Threat Hunting и следят за эволюцией инструментов угроз в реальном времени и реагируют до того, как вредонос успеет внедриться глубоко в инфраструктуру», — заключила она.
