Een nieuw rapport van BlackBerry heeft een eerste toegangsmakelaar ontdekt genaamd “Zebra2104” die connecties heeft met drie kwaadwillende cybercriminele groepen, waarvan sommige betrokken zijn bij ransomware en phishing.
Hun onderzoek begon in april 2021, toen ze merkwaardig gedrag ontdekten van domeinen die eerder waren geïdentificeerd in een Microsoft-rapport op servers die “malspam hadden verzonden, wat resulteerde in verschillende ransomware-payloads, zoals Dridex, die we konden bevestigen.”
Een paar domeinen waren in september 2020 betrokken geweest bij een phishing-campagne die de overheidsdiensten in Australië en vastgoedbedrijven daar aanviel. Met behulp van andere Microsoft-rapporten konden de onderzoekers de campagnes herleiden tot een indicator van compromis van een MountLocker-inbraak.
“Sophos heeft verondersteld dat de MountLocker-groep links heeft naar, of in feite is geworden, de onlangs opgekomen AstroLocker-groep. Dit komt omdat een van de ransomware-binaire bestanden van de groep is gekoppeld aan een ondersteuningssite van AstroLocker. Het is mogelijk dat deze groep probeert om enige bekendheid of bagage af te werpen die het had vergaard door zijn eerdere kwaadaardige activiteiten”, voegde het rapport eraan toe na een aantal technische verbanden tussen de twee groepen te hebben uitgelegd.
De BlackBerry Research & Het inlichtingenteam gebruikte vervolgens WHOIS-registratiegegevens en andere gegevens die ertoe leidden dat ze banden ontdekten tussen de Phobos-ransomware en MountLocker.
“Deze nieuwe informatie was een beetje een raadsel. Als MountLocker eigenaar zou zijn van de infrastructuur, dan zou de kans klein zijn dat een andere ransomware-operator er ook mee zou werken (hoewel het al eerder is gebeurd). In verschillende gevallen werd een vertraging waargenomen tussen een aanvankelijke compromis met behulp van Cobalt Strike en verdere ransomware die wordt ingezet. Op basis van deze factoren kunnen we concluderen dat de infrastructuur niet die van StrongPity, MountLocker of Phobos is, maar van een vierde groep die de operaties van de eerste drie heeft gefaciliteerd. Dit is ofwel door initiële toegang te verlenen, ofwel door Infrastructure as a Service (IaaS) te bieden”, aldus het rapport.
“Een IAB voert de eerste stap in de kill-keten van veel aanvallen uit; dit wil zeggen dat ze toegang krijgen tot het netwerk van een slachtoffer door middel van uitbuiting, phishing of andere middelen. Zodra ze voet aan de grond hebben ( d.w.z. een betrouwbare achterdeur naar het slachtoffernetwerk) vermelden ze vervolgens hun toegang in ondergrondse forums op het dark web, adverteren hun waren in de hoop een potentiële koper te vinden. De prijs voor toegang varieert van slechts $ 25, oplopend tot duizenden van dollars.”
Veel IAB's baseren hun prijs op de jaarlijkse inkomsten die de slachtofferorganisatie genereert, waardoor een biedsysteem ontstaat waarmee elke groep kan inzetten wat ze willen.
BlackBerry
“Dit kan kan van alles zijn, van ransomware tot infostealers en alles daartussenin. We zijn van mening dat onze drie bedreigingsactoren – MountLocker, Phobos en StrongPity, in dit geval – hun toegang via deze middelen hebben verkregen,” The BlackBerry Research & Inlichtingenteam uitgelegd.
Het rapport merkt op dat de domeinen zijn omgezet naar IP's die werden geleverd door dezelfde Bulgaarse ASN, Neterra LTD. Terwijl ze zich afvroegen of de toegangsmakelaar in Bulgarije was gevestigd, vermoedden ze dat er gewoon misbruik van het bedrijf werd gemaakt.
De onderzoekers zeiden dat het “interlinking web van kwaadaardige infrastructuur”, dat in het rapport wordt beschreven, aantoont dat cybercriminele groepen de zakenwereld weerspiegelen in die zin dat ze worden gerund als multinationale ondernemingen.
“Ze creëren partnerschappen en allianties om hun snode doelen te helpen bevorderen. Het is in ieder geval veilig om aan te nemen dat deze 'zakelijke partnerschappen' in de toekomst nog vaker zullen voorkomen”, aldus de onderzoekers.
“Om dit tegen te gaan, is het alleen via het volgen, documenteren en delen van informatie met betrekking tot deze groepen (en nog veel meer) dat de bredere veiligheidsgemeenschap hen kan controleren en ertegen kan verdedigen. Deze samenwerking zal blijven ons collectieve begrip van de werking van cybercriminelen vergroten. Als de slechteriken samenwerken, moeten wij dat ook!”
Beveiliging
Het beste phishing-doelwit? Je smartphone Waarom je deze beveiligingssleutel van $ 29 nodig hebt FBI: Ransomware-groepen koppelen aanvallen aan 'belangrijke financiële gebeurtenissen' Signaal laat zien hoe ver de Amerikaanse wetshandhavers gaan om informatie van mensen te krijgen De 10 ergste hardware-beveiligingsfouten in 2021 Cybersecurity 101: bescherm je privacy tegen hackers , spionnen, de overheid Blackberry | Beveiliging TV | Gegevensbeheer | CXO | Datacenters