Nul
Nawadoln, Getty Images/iStockphoto
Ransomware er blevet brugt til at skjule en omfattende, målrettet hacking kampagne, som blev opdaget i flere måneder, før angriberne trak stikket og krypteret hundredvis af maskiner på én gang i en indsats for at fjerne stjålet data, samtidig med at dække deres spor.
Den kampagne, der er målrettet flere Japanske organisationer i angreb, som varede fra tre til ni, før en ransomware angreb anvendes en vinduesvisker på inficerede maskiner i et forsøg på at skjule drift.
Retsmedicinsk undersøgelse af de inficerede maskiner, som forskere på Cybereason har ført dem til den konklusion, at angriberen gjort et forsøg på at tørre dokumentation for drift og ødelægge alle spor af angreb.
Navnet på den ransomware kommer fra .oni fil forlængelse af krypterede filer samt e-mail adresse i løsesum note, som kan oversættes til “Night of the Devil” – navnet forskere har givet til drift. Forskere bemærk, at ONI deler meget af sin kode med GlobeImposter ransomware.
Angreb med ONI ransomware er blevet vaccineret mod Japansk mål i nogen tid, men efterforskningen af den seneste bølge af angreb afsløret en ny variant, MBR-ONI, en form for ransomware, som er udstyret med bootkit funktioner.
Den nye bootkit ransomware er baseret på DiskCryptor, en legitim disk kryptering af den kode, der er også blevet fundet i Dårlig Kanin ransomware.
Mens MBR-ONI bootkit ransomware blev brugt mod en kontrolleret sæt af mål, som Active Directory-server og andre kritiske aktiver, ONI blev brugt mod resten af effektparametre i en inficeret netværk.
Se også: Ransomware: executive-guide til en af de største trusler på nettet
Den ONI-baserede angreb alle begynder på samme måde, med spyd-phishing-e-mails, der distribuerer skadelig Office-dokumenter, der falder Ammyy Admin fjernadgang værktøj.
Når du er inde i systemet, angribere kort den interne netværk, høst legitimationsoplysninger og bevægende sideværts gennem systemet – forskere har mistanke om, at de lækkede NSA SMB udnytte EternalBlue spiller en rolle, som gør det muligt for hackere at sprede sig gennem netværket.
I sidste ende gå på kompromis kritiske aktiver, herunder domain controller for at få fuld kontrol af netværk og evnen til at exfiltrate eventuelle data, der anses for vigtige.
Når angriberne er færdig med inficeret netværk, ONI og MBR-ONI ransomware blev kørt.
Mens ONI giver en løsesum noten, og udsigten til genoprettelse af krypterede data, forskere mener, MBR-ONI er designet til at aldrig give en dekrypteringsnøgle, men snarere som en vinduesvisker, til at dække angribere’ fodspor og skjule det sande mål for angreb: spionage og fjernelse af data over en periode på flere måneder.
Under efterforskningen af målrettet organisationer, blev det konstateret, at nogle havde været skadet siden December 2016, hvilket indikerer, langsigtet planlægning og raffinement på vegne af angriberne.
Mens ONI og den nyligt opdagede MBR-ONI udstille alle de egenskaber, ransomware, vores analyse tyder stærkt på, at de måske har faktisk været brugt som vinduesviskere til at dække en omfattende ordning,” sagde Assaf Dahan, direktør for advanced security services på Cybereason
“Brug af ransomware og/eller vinduesviskere i målrettede angreb er ikke en meget almindelig praksis, men det er på fremmarch. Vi tror på ‘The Night of The Devil’ angreb er en del af en om global tendens, hvor trussel skuespillere bruge ransomware/vinduesviskere i målrettede angreb,” tilføjede han.
Forskere har ikke været i stand til generelt at konkludere, hvem der står bag kampagnen, og det russiske sprog i den kode, der kunne give et fingerpeg eller en diversion i lige mål.
“Spørgsmålet om tilregnelse er en tricky en. Det russiske sprog spor, der er fundet i den binære filer kunne tyde på, at der er en russisk trussel skuespiller bag angrebet. Når det er sagt, er dette lidt af data kan også nemt manipuleres af angribere til at smide forskere off track,” Dahan fortalte ZDNet.
Andre kendte eksempler på kampagner, der bruger ransomware i destruktive, målrettede angreb omfatter Mamba, Stonedrill, Shamoon – og mest infamt, NotPetya, som forårsaget global kaos tidligere i år.
LÆS MERE OM IT-KRIMINALITET
De grimme fremtid ransomware: Fire måder mareridt er ved at få endnu worseThe globale ransomware-epidemien er bare med at komme i gang [CNET]Ransomware viser endnu grovere: Ødelæggelse, ikke overskud, bliver det egentlige mål De 10 værste ransomware angreb af 2017, så langt [TechRepublic]Lækket NSA hacking, exploit, der anvendes i WannaCry ransomware er nu siddet med Trojan, malware
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0