Hackningsgruppen MosesStaff har gått in i “ransomware”-striden med en skillnad: utpressningsbetalningar är längst bort från deras sinnen.
Den 15 november sa Check Point Research (CPR) att gruppen började rikta in sig på organisationer i Israel under september i år och gick med i kampanjer som lanserades av Pay2Key och BlackShadow.
Fokus för dessa operationer var att distribuera ransomware på offrets system och att orsaka skada, samt att stjäla värdefull information avsedd för framtida offentliga läckor.
Ransomware-operatörer, inklusive Maze, Conti och LockBit, för att bara nämna några, har antagit dubbel utpressningstaktik genom lanseringen av dedikerade webbplatser för dataläckor på Dark Web.
Under ett överfall kommer dessa grupper att stjäla värdefull företagsinformation före kryptering av offrets system. Om de vägrar att betala, ställs dessa organisationer sedan inför hotet om att denna data läcker ut till allmänheten eller säljs.
Men MosesStaff är öppen med sina avsikter: attackerna är politiska. Inget krav på lösen görs — det enda syftet är att stjäla information och att orsaka skada.
“På angriparnas språk är deras syfte att “kämpa mot motståndet och avslöja sionisternas brott i de ockuperade områdena”, säger CPR.
Forskarna antar att initial tillgång erhålls genom sårbarheter i offentliga system, som buggar i Microsoft Exchange Server, som korrigerades tidigare i år.
När åtkomsten har säkrats släpper MosesStaff sedan ett webbskal för att utföra ytterligare kommandon; batchskript för att inaktivera Windows-brandväggen och för att aktivera SMB; PsExec för fjärrstyrning av processer och OICe.exe, en körbar fil skriven i Golang-programmeringsspråket för att ta emot och utföra kommandon via kommandoraden.
Data exfiltreras sedan från offermaskinen inklusive domännamn, maskinnamn och referenser – information som sedan används för att kompilera en anpassad version av PyDCrypt skadlig kod. Denna nyttolast är fokuserad på att infektera andra sårbara maskiner i ett nätverk samt att säkerställa att den huvudsakliga krypteringsnyttolasten, DCSrv, exekveras korrekt. DCSrv är baserat på verktyget DiskCryptor med öppen källkod.
DiskCryptor-starthanteraren körs också för att säkerställa att systemet inte kan startas igen utan lösenord. Forskarna säger dock att det under de rätta omständigheterna kan vara möjligt att vända den nuvarande krypteringsprocessen om korrekt förvarade EDR-register finns tillgängliga.
Tillskrivningen är inte fast i det här fallet, men CPR misstänker att de kan finnas i Palestina på grund av utvecklingstidsloggar och kodningsledtrådar i ett använt verktyg, OICe.exe, som skickades till VirusTotal från Palestina flera månader innan kampanjen började.
“Som Pay2Key- och BlackShadow-gängen före dem, är MosesStaff-gruppen motiverad av politik och ideologi att rikta in sig på israeliska organisationer”, kommenterade forskarna. “Till skillnad från de föregångarna gjorde de dock ett direkt misstag när de satte ihop sitt eget krypteringsschema, vilket ärligt talat är en överraskning i dagens landskap där varje tvåbits cyberbrottsling verkar veta åtminstone grunderna för hur man sätter ihop fungerande ransomware. ”
Tidigare och relaterad bevakning
Möt Lyceum: Iranska hackare som riktar in sig på telekom, internetleverantörer
Ny avancerad hackergrupp riktar sig till regeringar, ingenjörer över hela världen
DeadRinger: Kinesiska APT:er slår till mot stora telekommunikationsföretag
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Säkerhets-TV | Datahantering | CXO | Datacenter