Nul
Nawadoln, Getty Images/iStockphoto
Ransomware wordt gebruikt voor het verbergen van een uitgebreide, gerichte hacking campagne die ging onopgemerkt maanden voordat de aanvallers trok de stekker en gecodeerd honderden machines tegelijk in een inspanning om het te verwijderen gestolen data, terwijl ook de dekking van hun tracks.
De campagne die enkele Japanse organisaties in aanvallen, die duurde van drie tot negen voor een ransomware aanvallen gebruikt een ruitenwisser op besmette machines in een poging om te verbergen van de operatie.
Forensisch onderzoek van de besmette machines door onderzoekers van Cybereason heeft ertoe geleid dat ze tot de conclusie dat de aanvaller een poging te vegen bewijs van de werking en vernietig alle sporen van de aanval.
De naam van de ransomware komt van de .oni-bestand extensie van de versleutelde bestanden alsmede het e-mail adres in het rantsoen opmerking, wat zich vertaalt naar “de Nacht van de Duivel” – de naam onderzoekers hebben gegeven aan de werking. De onderzoekers concludeerden dat ONI deelt veel van zijn code met GlobeImposter ransomware.
Aanvallen met behulp van ONI ransomware zijn uitgevoerd tegen Japanse doelen voor enige tijd, maar het onderzoek in de laatste golf van aanvallen ontdekt een nieuwe variant, de MBR-ONI, een vorm van ransomware die is uitgerust met bootkit functies.
De nieuwe bootkit ransomware is gebaseerd op DiskCryptor, een legitieme schijf encryptie tool, de code die is ook gevonden in een Slechte Konijn ransomware.
Terwijl MBR-ONI bootkit ransomware werd gebruikt tegen een gecontroleerde set van doelen, zoals Active Directory-server en andere bedrijfskritische activa, ONI werd gebruikt tegen de rest van de eindpunten in een geïnfecteerde netwerk.
Zie ook: Ransomware: Een executive gids naar één van de grootste bedreigingen op het web
De ONI-gebaseerde aanvallen beginnen allemaal op dezelfde manier, met spear-phishing e-mails verspreiden van kwaadaardige Office-documenten die druppels de Ammyy Admin remote access tool.
Eenmaal in het systeem, aanvallers kaart van de interne netwerken, het oogsten van referenties en het verplaatsen van de zijkant door de systeem – onderzoekers vermoeden dat de gelekte NSA SMB exploiteren EternalBlue speelt een rol in het mogelijk maken van de aanvallers te verspreiden via het netwerk.
Uiteindelijk compromis bedrijfskritische activa met inbegrip van de domeincontroller die de volledige controle van het netwerk en de mogelijkheid om exfiltrate welke gegevens van belang geacht.
Zodra de aanvallers zijn gedaan met de geïnfecteerde netwerk, ONI en MBR-ONI ransomware werd uitgevoerd.
Terwijl ONI heeft een los geld nota en het vooruitzicht van het herstellen van gecodeerde gegevens, onderzoekers geloven MBR-ONI is ontworpen om nooit een decryptie sleutel, maar eerder als een wisser voor het dekken van de aanvallers’ footprints en verhullen van de ware doelstellingen van de aanval: spionage en het verwijderen van data over een periode van maanden.
Tijdens het onderzoeken van gerichte organisaties, bleek dat sommige in gevaar heeft gebracht sinds December 2016, met vermelding van lange-termijn planning en verfijning namens de aanvallers.
Terwijl ONI en de nieuw ontdekte MBR-ONI vertonen alle kenmerken van ransomware onze analyse suggereert sterk dat ze misschien daadwerkelijk zijn gebruikt als navigatiesysteem om te voorzien in een uitgebreide regeling,” zei Assaf Dahan, directeur van advanced security services op Cybereason
“Het gebruik van ransomware en/of ruitenwissers in gerichte aanvallen is niet een veel voorkomende praktijk, maar het is op de stijging. We geloven dat ‘de Nacht van De Duivel’ de aanval is onderdeel van een met betrekking tot de wereldwijde trend in welke bedreiging actoren die gebruik maken van ransomware/ruitenwissers in gerichte aanvallen,” voegde hij eraan toe.
De onderzoekers niet in staat zijn geweest om uitgebreid te concluderen wie er achter de campagne en de russische taal in de code zou een aanwijzing of een omleiding in gelijke mate.
“De vraag van toerekening is een lastige. De russische taal te sporen die gevonden zijn in de binaire bestanden kunnen suggereren dat er een russische dreiging acteur achter de aanval. Dat gezegd zijnde, dit soort van gegevens kan ook gemakkelijk worden gemanipuleerd door de aanvallers te gooien onderzoekers uit de rails” Dahan vertelde ZDNet.
Andere bekende voorbeelden van campagnes met behulp van ransomware in destructieve, gerichte aanvallen zijn Mamba, Stonedrill, Shamoon – en meest schandalige, NotPetya, die geteisterd wereldwijde ravage eerder dit jaar.
LEES MEER OVER CYBER CRIME
Het vervelende toekomst van ransomware: Vier manieren de nachtmerrie staat op het punt te krijgen nog worseThe global ransomware epidemie is net begonnen [CNET]Ransomware draait nog smerigere: Vernietiging, geen winst, wordt het echte doel van De top 10 van de slechtste ransomware aanvallen van 2017, zo ver [TechRepublic]Gelekt NSA hacken exploit gebruikt in WannaCry ransomware is nu het voeden van Trojan malware
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0