Групата Crypto24 активно използва собствени помощни програми, за да заобикаля решенията за киберсигурност, да извлича данни и да криптира файлове в компрометирани мрежи.

Първите следи от дейността ѝ се появяват през септември 2024 г., макар че тогава тя не привлича сериозно внимание. Според експерти от Trend Micro, които следят операциите на групата, атаките вече засягат големи организации в САЩ, Европа и Азия. Основните жертви са от секторите финанси, производство, развлечения и технологии – индустрии с висока стойност и критична информация.

Подозрения за бивши хакери от известни групи

Анализаторите подчертават, че Crypto24 демонстрира високо ниво на подготовка и технически умения, което поражда съмнения, че в нея участват бивши ключови членове на вече разпаднали се рансъмуер операции.

След проникване в мрежата

След първоначалния достъп нападателите активират стандартни администраторски акаунти в Windows или създават нови локални профили, за да запазят постоянен и скрит достъп. Следва разузнавателен етап, в който чрез персонализиран batch файл се събират данни за потребители, хардуер и дискови дялове.

За да осигурят постоянство, атакуващите създават злонамерени Windows услуги и планирани задачи:

• WinMainSvc – кейлогър, който записва натисканията на клавишите и заглавията на активните прозорци.

• MSRuntime – товарител за рансъмуера.

Избягване на защитите

Crypto24 използва модифицирана версия на инструмента RealBlindingEDR, който атакува решения за защита, като деактивира драйверите на техните агенти. Сред целевите продукти са тези на Trend Micro, Kaspersky, Sophos, SentinelOne, Malwarebytes, McAfee, Bitdefender, Broadcom (Symantec), Cisco, Fortinet и други.

Особено притеснителна е злоупотребата с легитимния инструмент XBCUninstaller.exe на Trend Micro, който по принцип се използва за отстраняване на проблеми. Хакерите го стартират чрез gpscript.exe, за да деинсталират Trend Vision One и да премахнат защитите срещу последващите зловредни товари.

Латерално движение и изнасяне на данни

За разпространение в мрежата нападателите използват SMB споделяния, а всички откраднати данни се качват в Google Drive чрез специално създаден инструмент, базиран на WinINET API.

Финален етап – криптиране

Преди да стартира рансъмуер полезния товар, Crypto24 изтрива shadow copies в Windows, за да блокира лесното възстановяване на данни.

Заключение

Макар Trend Micro да не разкрива конкретни технически детайли за самото криптиране, бележките за откуп или файловите разширения, компанията предоставя индикатори за компрометиране (IoC). Те могат да помогнат на организациите да открият и блокират Crypto24 още в ранните фази на атаката.