Noll
Nawadoln, Getty Images/iStockphoto
Ransomware används för att dölja ett utstuderat, riktade dataintrång kampanj som gick obemärkt förbi i flera månader innan angriparna drog kontakt och krypterad hundratals maskiner på en gång i ett försök att ta bort stulna data samtidigt dölja sina spår.
Kampanjen riktade flera Japanska organisationer i attacker som varade från tre till nio innan en ransomware attack används en torkare på angripna maskiner i ett försök att dölja transaktionen.
Rättsmedicinsk undersökning av den infekterade maskiner av forskare vid Cybereason har lett dem till slutsatsen att angriparen gjort ett försök att torka bevis för drift och förstöra alla spår av angrepp.
Namnet på den ransomware kommer från .oni file extension av krypterade filer samt e-postadress i gisslan anteckning, som översätts till “Night of the Devil” – namnet forskare har gett till verksamheten. Forskare observera att ONI delar mycket av sin kod med GlobeImposter ransomware.
Attacker med ONI ransomware har utförts mot Japanska mål för en viss tid, men en undersökning av den senaste vågen av attacker upptäckt en ny variant, MBR-ONI, en form av ransomware som är utrustad med bootkit funktioner.
Den nya bootkit ransomware är baserad på DiskCryptor, en legitim disk kryptering verktyg, kod som har också hittats i Dåliga Kanin ransomware.
Medan MBR-ONI bootkit ransomware användes mot en kontrollerad uppsättning av mål, till exempel Active Directory-servern och andra viktiga tillgångar, ONI användes mot resten av ändpunkterna i en infekterad nätverk.
Se även: Ransomware: En verkställande guide till en av de största hot på webben
Den ONI-baserade attacker alla börjar på samma sätt, med spear-phishing e-post distribuera skadlig Office-dokument som droppar Ammyy Admin remote access-verktyg.
Väl inne i systemet, anfallare karta inre nätverk, skörd referenser och flytta i sidled genom systemet – forskare misstänka att det läckt ut NSA SMB utnyttja EternalBlue spelar en roll för att göra det möjligt för angripare utifrån att sprida via nätet.
I slutändan en kompromiss kritiska tillgångar, inklusive domänkontrollanten för att få full kontroll över nätverk och förmågan att exfiltrate alla uppgifter som bedöms vara viktiga.
När angriparna är klar med den infekterade nätverk, ONI och MBR-ONI ransomware var att köra.
Medan ONI ger en gisslan anteckning och möjligheten att återvinna krypterade data, forskare tror att MBR-ONI är utformade för att aldrig ge en dekrypteringsnyckel, utan snarare som en vindrutetorkare för att täcka attacker ” fotspår och dölja de verkliga målen för attack: spionage och ta bort data över en period på några månader.
I samband med utredningar av riktade organisationer, det visade sig att vissa hade äventyrats sedan December 2016, vilket tyder på en långsiktig planering och en förfining på uppdrag av angriparna.
Medan ONI och de nyupptäckta MBR-ONI uppvisar alla kännetecken av ransomware, vår analys tyder starkt på att de kan ha använts som en vindrutetorkare för att täcka ett utstuderat system,” sade Assaf Dahan, chef för advanced security services på Cybereason
“Användningen av ransomware och/eller vindrutetorkare i riktade attacker är inte särskilt vanligt, men det är på uppgång. Vi tror att “Night of the Devil” attack är en del av en om global trend som hot aktörer använder ransomware/vindrutetorkarna i riktade attacker”, tillade han.
Forskarna inte har lyckats att på ett övergripande sätt konstatera vem som ligger bakom kampanjen och ryska språket i koden skulle kunna ge en ledtråd eller en avledning i lika hög grad.
“Frågan om tilldelningen är en knepig en. Ryska språket spår som finns i den binära filer kan tyda på att det är ett ryskt hot skådespelaren bakom attacken. Som sagt, detta kinda data kan lätt manipuleras av angriparna att kasta forskare off track,” Dahan berättade ZDNet.
Andra kända exempel på kampanjer med hjälp av ransomware i destruktiva, riktade attacker inkluderar Mamba, Stonedrill, Shamoon – och mest vanhedrande, NotPetya, som vållade global förödelse tidigare i år.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Otäck framtid ransomware: Fyra sätt mardröm är på väg att få ännu worseThe globala ransomware epidemin är bara att komma igång [MAG]Ransomware blir ännu elakare: Förstörelse, inte vinst, blir det verkliga syftet topp 10 värsta ransomware attacker av 2017, så långt [TechRepublic]Läckt NSA hacka utnyttja används i WannaCry ransomware är nu att driva Trojan malware
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0