Многоликий ransom: кто стоит за атаками вымогателей Nokoyawa и INC Ransom

В апреле 2024 года исследователи из The DFIR Report опубликовали отчет, описывающий цепочку атаки вируса-вымогателя Nokoyawa в феврале 2023 года. В ходе анализа информации из этого отчета специалисты F.A.C.C.T. обратили внимание на интересные детали.

До запуска шифровальщика атакующие использовал сервер Cobalt Strike, который был развернут на домене msc-mvc-updates[.]com с IP адресом 91[.]215[.]85[.]183.

Специалисты F.A.C.C.T. отметили, что данный сервер уже фигурировал в других отчетах и атаках. С помощью хантинг правил на инфраструктуру злоумышленников, 11.04.2023 данный сервер был атрибутирован системой F.A.C.C.T. Threat Intelligence к FIN7, поскольку на нем были обнаружены уникальные признаки, выявляемые на серверах FIN7 ранее.

FIN7 — это финансово-мотивированная преступная группа, действующая с 2015 года. По данным исследователей, злоумышленники из FIN7 связаны с использованием программ-шифровальщиков Revil (Sodinokibi), также считается, что из FIN7 нее отделились такие группировки как DarkSide и BlackMatter, запомнившееся своими дерзкими атаками в 2021 году, а эксперты Symantec заявляли, что FIN7 стоит во главе RaaS ALPHV (BlackCat).

По данным исследователей из Symantec, сервер 91[.]215[.]85[.]183 фигурировал в атаке шифровальщика Buhti в феврале 2023.

 Buhti – группировка, впервые замеченная в феврале 2023 года, активно эксплуатирующая уязвимости CVE-2023-27350, CVE-2022-47986 и использующая для шифрования данных утекший ранее инструментарий Babuk и LockBit 3.0 (Black), однако для кражи и эксфильтрации данных Buhti использовали собственный инструмент, написанный на Golang.

В статье  The DFIR Report атака с использованием данного Cobalt Strike сервера привела к заражению Nokoyawa Ransomware – это появившийся в