В течение последнего месяца группировка CrazyHunter провела серию целенаправленных атак на тайваньские организации из здравоохранения, образования и промышленности, используя современные методы обхода защиты. Все десять официально подтверждённых жертв — исключительно тайваньские структуры, среди которых больницы, университеты и производственные предприятия. В каждом случае киберпреступники добивались максимального саботажа ключевых сервисов и вымогали выкуп.
CrazyHunter выделяется благодаря применению тактики BYOVD — «принеси свой уязвимый драйвер», что позволяет обходить антивирусы и средства обнаружения угроз. Злоумышленники используют легитимный, но уязвимый драйвер Zamana Anti-Malware (zam64.sys), чтобы получать системные привилегии и уничтожать процессы защиты, включая Trend Micro, Microsoft Defender и Avira. Процесс-киллер ZammoCide регистрирует сервис под именем ZammOcide и напрямую взаимодействует с драйвером через IOCTL-коды, непрерывно подавляя перезапускающиеся защитные процессы.
Около 80% всей инфраструктуры CrazyHunter — это модифицированные открытые инструменты с GitHub: Prince Ransomware Builder, ZammoCide и SharpGPOAbuse. Первый облегчает создание индивидуальных вариантов вымогателя, второй — обеспечивает убийство защитных процессов, а третий позволяет злоумышленникам быстро повышать привилегии через управление групповыми политиками и перемещаться по внутренней сети жертвы.
Сам вредоносный код написан на Go и использует современные алгоритмы шифрования ChaCha20 и ECIES. Все зашифрованные файлы получают расширение.Hunter, а на рабочем столе появляется записка с требованиями выкупа — "Decryption Instructions.txt". Вирус не шифрует критические для работоспособности системы расширения (.exe,.dll,.sys и т. д.) и каталоги (Windows, Program Files, system32 и другие служебные папки), чтобы не вывести ОС из строя полностью и сохранить возможность коммуникации с жертвой.
В ходе атаки запускается сложная цепочка программ: стартует батч-скрипт, который шаг за шагом активирует различные исполняемые файлы (go2.exe, go.exe, go3.exe, av-1m.exe, bb.exe, crazyhunter.sys). Если один из компонентов не срабатывает, подстраховочные файлы обеспечивают выполнение основной задачи — развёртывание вымогателя на максимальном количестве машин.
Для кражи данных CrazyHunter использует программу file.exe, также написанную на Go. Она работает в двух режимах: мониторинга (отслеживает файлы с расширениями.asp,.php,.jsp) и файлового сервера (раздаёт похищенное через веб-сервер на произвольном порту). Гибкая настройка через командную строку позволяет атакующим быстро менять тактику эксфильтрации данных.
Анализ каждой атакующей кампании указывает на deliberate (преднамеренный) фокус на Тайване. Электронные адреса для связи содержат суффикс "tw", а среди жертв нет ни одной организации из других стран. Большинство атакованных — малые и средние предприятия, особенно чувствительные к простоям и потере данных.
За последний месяц CrazyHunter существенно усовершенствовал инструментарий: внедрены новые методы обхода защиты, расширены возможности lateral movement и автоматизации шифрования. По данным Trend Cybertron AI, внедрение базовых мер защиты позволяет снизить риск успешной атаки на 92% и ускорить обнаружение инцидента на 99%. Ключевые рекомендации включают ограничение прав доступа, двухфакторную аутентификацию, регулярное обновление ОС и драйверов, ежедневное резервное копирование, аудит разрешений и отдельный мониторинг использования драйверов.
В качестве технических индикаторов зафиксированы изменения в реестре (eventSubId: 402, objectRegistryKeyHandle: ZammOcide, objectRegistryData: zam64) и характерные исполняемые файлы. Для максимальной защиты необходимо инвентаризировать драйверы, использовать только проверенные версии и немедленно обновлять устаревшие компоненты.
CrazyHunter демонстрирует, насколько опасно массовое применение открытых инструментов в руках киберпреступников и как быстро может эволюционировать современная вымогательская кампания при грамотной адаптации под конкретный регион и отрасль.
Изображение носит иллюстративный характер
CrazyHunter выделяется благодаря применению тактики BYOVD — «принеси свой уязвимый драйвер», что позволяет обходить антивирусы и средства обнаружения угроз. Злоумышленники используют легитимный, но уязвимый драйвер Zamana Anti-Malware (zam64.sys), чтобы получать системные привилегии и уничтожать процессы защиты, включая Trend Micro, Microsoft Defender и Avira. Процесс-киллер ZammoCide регистрирует сервис под именем ZammOcide и напрямую взаимодействует с драйвером через IOCTL-коды, непрерывно подавляя перезапускающиеся защитные процессы.
Около 80% всей инфраструктуры CrazyHunter — это модифицированные открытые инструменты с GitHub: Prince Ransomware Builder, ZammoCide и SharpGPOAbuse. Первый облегчает создание индивидуальных вариантов вымогателя, второй — обеспечивает убийство защитных процессов, а третий позволяет злоумышленникам быстро повышать привилегии через управление групповыми политиками и перемещаться по внутренней сети жертвы.
Сам вредоносный код написан на Go и использует современные алгоритмы шифрования ChaCha20 и ECIES. Все зашифрованные файлы получают расширение.Hunter, а на рабочем столе появляется записка с требованиями выкупа — "Decryption Instructions.txt". Вирус не шифрует критические для работоспособности системы расширения (.exe,.dll,.sys и т. д.) и каталоги (Windows, Program Files, system32 и другие служебные папки), чтобы не вывести ОС из строя полностью и сохранить возможность коммуникации с жертвой.
В ходе атаки запускается сложная цепочка программ: стартует батч-скрипт, который шаг за шагом активирует различные исполняемые файлы (go2.exe, go.exe, go3.exe, av-1m.exe, bb.exe, crazyhunter.sys). Если один из компонентов не срабатывает, подстраховочные файлы обеспечивают выполнение основной задачи — развёртывание вымогателя на максимальном количестве машин.
Для кражи данных CrazyHunter использует программу file.exe, также написанную на Go. Она работает в двух режимах: мониторинга (отслеживает файлы с расширениями.asp,.php,.jsp) и файлового сервера (раздаёт похищенное через веб-сервер на произвольном порту). Гибкая настройка через командную строку позволяет атакующим быстро менять тактику эксфильтрации данных.
Анализ каждой атакующей кампании указывает на deliberate (преднамеренный) фокус на Тайване. Электронные адреса для связи содержат суффикс "tw", а среди жертв нет ни одной организации из других стран. Большинство атакованных — малые и средние предприятия, особенно чувствительные к простоям и потере данных.
За последний месяц CrazyHunter существенно усовершенствовал инструментарий: внедрены новые методы обхода защиты, расширены возможности lateral movement и автоматизации шифрования. По данным Trend Cybertron AI, внедрение базовых мер защиты позволяет снизить риск успешной атаки на 92% и ускорить обнаружение инцидента на 99%. Ключевые рекомендации включают ограничение прав доступа, двухфакторную аутентификацию, регулярное обновление ОС и драйверов, ежедневное резервное копирование, аудит разрешений и отдельный мониторинг использования драйверов.
В качестве технических индикаторов зафиксированы изменения в реестре (eventSubId: 402, objectRegistryKeyHandle: ZammOcide, objectRegistryData: zam64) и характерные исполняемые файлы. Для максимальной защиты необходимо инвентаризировать драйверы, использовать только проверенные версии и немедленно обновлять устаревшие компоненты.
CrazyHunter демонстрирует, насколько опасно массовое применение открытых инструментов в руках киберпреступников и как быстро может эволюционировать современная вымогательская кампания при грамотной адаптации под конкретный регион и отрасль.
