En ny rapport fra BlackBerry har afsløret en indledende adgangsmægler kaldet “Zebra2104”, der har forbindelser til tre ondsindede cyberkriminelle grupper, hvoraf nogle er involveret i ransomware og phishing.
Deres forskning begyndte i april 2021, da de opdagede nysgerrig adfærd fra domæner, der tidligere blev identificeret i en Microsoft-rapport om servere, der “havde serveret malspam, der resulterede i forskellige ransomware-nyttelaster, såsom Dridex, som vi var i stand til at bekræfte.”
Nogle få af domænerne havde været involveret i en phishing-kampagne, der gik efter statslige myndigheder i Australien samt ejendomsselskaber der i september 2020. Ved hjælp af andre Microsoft-rapporter var forskerne i stand til at spore kampagnerne videre til en indikator for kompromittering af en MountLocker-indtrængen.
“Sophos har antaget, at MountLocker-gruppen har links til, eller faktisk er blevet, den nyligt opståede AstroLocker-gruppe. Dette skyldes, at en af gruppens ransomware-binære filer er blevet linket til et supportwebsted for AstroLocker. Det er muligt, at denne gruppe forsøger for at fjerne enhver berygtethed eller bagage, som den havde fået gennem sine tidligere ondsindede aktiviteter,” tilføjede rapporten efter at have forklaret en række tekniske forbindelser mellem de to grupper.
BlackBerry Research & Efterretningsteamet brugte derefter WHOIS-registrantoplysninger og andre data, der førte dem til at opdage bånd mellem Phobos ransomware og MountLocker.
“Denne nye information præsenterede lidt af en gåde. Hvis MountLocker ejede infrastrukturen, så ville der være en lille chance for, at en anden ransomware-operatør også ville arbejde ud fra den (selvom det er sket før). I flere tilfælde blev der observeret en forsinkelse mellem en indledende kompromis ved hjælp af Cobalt Strike og yderligere ransomware ved at blive implementeret. Baseret på disse faktorer kan vi udlede, at infrastrukturen ikke er StrongPity, MountLocker eller Phobos, men fra en fjerde gruppe, der har lettet operationerne for de tidligere tre. Dette er enten ved at give indledende adgang eller ved at levere Infrastructure as a Service (IaaS),« hedder det i rapporten.
“En IAB udfører det første trin i drabskæden af mange angreb; det vil sige, at de får adgang til et ofres netværk gennem udnyttelse, phishing eller andre midler. Når de har etableret fodfæste ( dvs. en pålidelig bagdør ind til offernetværket) de lister derefter deres adgang i underjordiske fora på det mørke web, reklamerer for deres varer i håb om at finde en potentiel køber. Prisen for adgang varierer fra så lidt som $25, der går op til tusindvis af dollars.”
Mange IAB'er baserer deres pris på den årlige indtjening, som offerorganisationen genererer, og skaber et budsystem, der tillader enhver gruppe at implementere, hvad de vil.
BlackBerry
“Dette kan være alt fra ransomware til infostyvere og alt derimellem. Vi mener, at vores tre trusselsaktører – MountLocker, Phobos og StrongPity, i dette tilfælde – hentede deres adgang gennem disse midler,” The BlackBerry Research & Efterretningsteam forklarede.
Rapporten bemærker, at domænerne blev løst til IP'er, der blev leveret af det samme bulgarske ASN, Netera LTD. Mens de spekulerede på, om adgangsmægleren var baseret i Bulgarien, formodede de, at virksomheden simpelthen blev udnyttet.
Forskerne sagde, at det “sammenkædede web af ondsindet infrastruktur”, der er beskrevet i hele rapporten, viste, at cyberkriminelle grupper afspejlede forretningsverdenen ved, at de drives som multinationale virksomheder.
“De skaber partnerskaber og alliancer for at hjælpe med at fremme deres uhyggelige mål. Hvis noget, er det sikkert at antage, at disse 'forretningspartnerskaber' vil blive endnu mere udbredt i fremtiden,” sagde forskerne.
“For at imødegå dette er det kun via sporing, dokumentering og deling af efterretninger i forhold til disse grupper (og mange flere), at det bredere sikkerhedssamfund kan overvåge og forsvare sig mod dem. Dette samarbejde vil fortsæt med at fremme vores kollektive forståelse af, hvordan cyberkriminelle fungerer. Hvis de onde arbejder sammen, bør vi så også!”
Sikkerhed
Det bedste phishing-mål? Din smartphone Hvorfor har du brug for denne sikkerhedsnøgle til $29 FBI: Ransomware grupperer, der binder angreb til 'betydelige økonomiske begivenheder' Signal afslører, hvor langt amerikansk retshåndhævelse vil gå for at få folks information De 10 værste hardwaresikkerhedsfejl i 2021 Cybersecurity 101: Beskyt dit privatliv mod hackere , spioner, regeringen Blackberry | Sikkerheds-tv | Datastyring | CXO | Datacentre