En ny rapport från BlackBerry har avslöjat en första åtkomstmäklare som heter “Zebra2104” som har kopplingar till tre skadliga cyberkriminella grupper, av vilka några är inblandade i ransomware och nätfiske.
Deras forskning började i april 2021, när de upptäckte konstigt beteende från domäner som tidigare identifierats i en Microsoft-rapport om servrar som “hade serverat malspam som resulterade i varierande ransomware-nyttolaster, som Dridex, som vi kunde bekräfta.”
Några av domänerna hade varit involverade i en nätfiskekampanj som gick efter statliga myndigheter i Australien samt fastighetsbolag där i september 2020. Med hjälp av andra Microsoft-rapporter kunde forskarna spåra kampanjerna vidare till en indikator på kompromiss av ett MountLocker-intrång.
“Sophos har antagit att MountLocker-gruppen har länkar till, eller faktiskt har blivit, den nyligen uppkomna AstroLocker-gruppen. Detta beror på att en av gruppens ransomware-binärer har länkats till en supportsajt för AstroLocker. Det är möjligt att den här gruppen försöker för att göra sig av med all ryktbarhet eller bagage som den hade samlat på sig genom sina tidigare skadliga aktiviteter”, tillade rapporten efter att ha förklarat ett antal tekniska kopplingar mellan de två grupperna.
The BlackBerry Research & Underrättelseteamet använde sedan WHOIS-registrantinformation och annan data som ledde till att de upptäckte kopplingar mellan Phobos ransomware och MountLocker.
“Denna nya information presenterade lite av en gåta. Om MountLocker ägde infrastrukturen, skulle det vara en liten chans att en annan ransomware-operatör också skulle arbeta från den (även om det har hänt tidigare). I flera fall observerades en fördröjning mellan en första kompromiss med Cobalt Strike och ytterligare ransomware som distribueras. Baserat på dessa faktorer kan vi dra slutsatsen att infrastrukturen inte är den för StrongPity, MountLocker eller Phobos, utan av en fjärde grupp som har underlättat verksamheten för de tidigare tre. Detta är antingen göras genom att tillhandahålla initial åtkomst eller genom att tillhandahålla Infrastructure as a Service (IaaS), säger rapporten.
“En IAB utför det första steget i dödningskedjan av många attacker; det vill säga att de får tillgång till ett offers nätverk genom utnyttjande, nätfiske eller på annat sätt. När de väl har etablerat sig ( dvs en pålitlig bakdörr till offrets nätverk) listar de sedan sin åtkomst i underjordiska forum på den mörka webben, annonserar sina varor i hopp om att hitta en potentiell köpare. Priset för åtkomst varierar från så lite som $25, upp till tusentals av dollar.”
Många IAB:er baserar sitt pris på de årliga intäkterna som offerorganisationen genererar, vilket skapar ett budgivningssystem som låter vilken grupp som helst distribuera vad de vill.
BlackBerry
“Detta kan vara allt från ransomware till infostealers och allt däremellan. Vi tror att våra tre hotaktörer – MountLocker, Phobos och StrongPity, i det här fallet – skaffade sin åtkomst på dessa sätt,” The BlackBerry Research & Underrättelseteamet förklarade.
Rapporten noterar att domänerna löstes till IP-adresser som tillhandahålls av samma bulgariska ASN, Neterra LTD. Medan de undrade om tillgångsmäklaren var baserad i Bulgarien, antog de att företaget helt enkelt utnyttjades.
Forskarna sa att den “sammankopplande webben av skadlig infrastruktur” som beskrivs i hela rapporten visade att cyberkriminella grupper speglade affärsvärlden genom att de drivs som multinationella företag.
“De skapar partnerskap och allianser för att hjälpa till att främja sina skändliga mål. Om något är det säkert att anta att dessa “affärspartnerskap” kommer att bli ännu vanligare i framtiden,” sa forskarna.
“För att motverka detta är det endast genom spårning, dokumentering och delning av underrättelser i relation till dessa grupper (och många fler) som det bredare säkerhetssamhället kan övervaka och försvara sig mot dem. Detta samarbete kommer att fortsätta att främja vår kollektiva förståelse för hur cyberbrottslingar fungerar. Om skurkarna arbetar tillsammans, så borde vi det också!”
Säkerhet
Det bästa nätfiskemålet? Din smartphone Varför du behöver denna säkerhetsnyckel på 29 $ FBI: Ransomware grupperar som knyter attacker till “väsentliga ekonomiska händelser” Signalen avslöjar hur långt amerikansk brottsbekämpning kommer att gå för att få folks information De 10 värsta hårdvarusäkerhetsbristerna 2021 Cybersecurity 101: Skydda din integritet från hackare , spioner, regeringen Blackberry | Säkerhets-TV | Datahantering | CXO | Datacenter