En ny rapport fra BlackBerry har avdekket en første tilgangsmegler kalt “Zebra2104” som har forbindelser til tre ondsinnede nettkriminelle grupper, hvorav noen er involvert i løsepengeprogramvare og phishing.
Undersøkelsen deres begynte i april 2021, da de oppdaget nysgjerrig oppførsel fra domener som tidligere ble identifisert i en Microsoft-rapport om servere som “hadde servert malspam som resulterte i varierende løsepengevare, som Dridex, som vi var i stand til å bekrefte.”
Noen få av domenene hadde vært involvert i en phishing-kampanje som gikk etter statlige myndigheter i Australia samt eiendomsselskaper der i september 2020. Ved hjelp av andre Microsoft-rapporter kunne forskerne spore kampanjene videre til en indikator på kompromittering av et MountLocker-inntrenging.
“Sophos har antatt at MountLocker-gruppen har lenker til, eller faktisk har blitt, den nylig oppståtte AstroLocker-gruppen. Dette er fordi en av gruppens løsepengeprogramvare har blitt koblet til et støttenettsted for AstroLocker. Det er mulig at denne gruppen prøver for å kaste bort enhver beryktethet eller bagasje som den hadde samlet gjennom sine tidligere ondsinnede aktiviteter,” la rapporten til etter å ha forklart en rekke tekniske koblinger mellom de to gruppene.
The BlackBerry Research & Etterretningsteamet brukte deretter WHOIS-registrantinformasjon og andre data som førte til at de oppdaget bånd mellom Phobos-ransomware og MountLocker.
“Denne nye informasjonen presenterte litt av en gåte. Hvis MountLocker eide infrastrukturen, ville det være en liten sjanse for at en annen løsepengevareoperatør også ville jobbe fra den (selv om det har skjedd før). I flere tilfeller ble det observert en forsinkelse mellom en innledende kompromiss ved bruk av Cobalt Strike og ytterligere løsepengevare som distribueres. Basert på disse faktorene kan vi slutte at infrastrukturen ikke er StrongPity, MountLocker eller Phobos, men fra en fjerde gruppe som har tilrettelagt operasjonene til de tre førstnevnte. Dette er enten gjort ved å gi innledende tilgang, eller ved å tilby Infrastructure as a Service (IaaS),» heter det i rapporten.
“En IAB utfører det første trinnet i drepekjeden av mange angrep; dette vil si at de får tilgang til et ofres nettverk gjennom utnyttelse, phishing eller andre måter. Når de har etablert fotfeste ( dvs. en pålitelig bakdør inn til offernettverket) viser de deretter tilgangen sin i underjordiske fora på det mørke nettet, og annonserer varene sine i håp om å finne en potensiell kjøper. Prisen for tilgang varierer fra så lite som $25, og går opp til tusenvis av dollar.”
Mange IABer baserer prisen på den årlige inntekten som offerorganisasjonen genererer, og skaper et budsystem som lar enhver gruppe distribuere hva de vil.
BlackBerry
“Dette kan være alt fra løsepengeprogramvare til infotyvere, og alt derimellom. Vi tror at våre tre trusselaktører – MountLocker, Phobos og StrongPity, i dette tilfellet – hentet tilgangen deres gjennom disse midlene,” The BlackBerry Research & Etterretningsteamet forklarte.
Rapporten bemerker at domenene ble løst til IP-er som ble levert av samme bulgarske ASN, Neterra LTD. Mens de lurte på om tilgangsmegleren var basert i Bulgaria, antok de at selskapet rett og slett ble utnyttet.
Forskerne sa at “sammenkoblingsnettet av ondsinnet infrastruktur” beskrevet gjennom hele rapporten viste at nettkriminelle grupper speilet forretningsverdenen ved at de drives som multinasjonale foretak.
“De oppretter partnerskap og allianser for å bidra til å fremme sine uhyggelige mål. Hvis noe, er det trygt å anta at disse “forretningspartnerskapene” kommer til å bli enda mer utbredt i fremtiden,” sa forskerne.
“For å motvirke dette er det kun via sporing, dokumentering og deling av etterretning i forhold til disse gruppene (og mange flere) at det bredere sikkerhetssamfunnet kan overvåke og forsvare seg mot dem. Dette samarbeidet vil fortsett å fremme vår kollektive forståelse av hvordan nettkriminelle opererer. Hvis de slemme gutta jobber sammen, bør vi også gjøre det!”
Sikkerhet
Det beste phishing-målet? Smarttelefonen din Hvorfor trenger du denne sikkerhetsnøkkelen til $29 FBI: Ransomware grupperer som knytter angrep til “betydelige økonomiske hendelser” Signal avslører hvor langt amerikansk rettshåndhevelse vil gå for å få folks informasjon De 10 verste maskinvaresikkerhetsfeilene i 2021 Cybersecurity 101: Beskytt personvernet ditt mot hackere , spioner, regjeringen Blackberry | Sikkerhets-TV | Databehandling | CXO | Datasentre