Hackinggruppen MosesStaff har gått inn i “ransomware”-kampen med en forskjell: utpressingsbetalinger er fjernest fra tankene deres.
Den 15. november sa Check Point Research (CPR) at gruppen begynte å målrette organisasjoner i Israel i løpet av september i år, og ble med i kampanjer lansert av Pay2Key og BlackShadow.
Fokuset for disse operasjonene var å distribuere løsepengevare på offerets systemer og å forårsake skade, samt å stjele verdifull informasjon bestemt for fremtidige offentlige lekkasjer.
Ransomware-operatører, inkludert Maze, Conti og LockBit, for å nevne noen, har tatt i bruk dobbelutpressingstaktikker gjennom lanseringen av dedikerte datalekkasjenettsteder på Dark Web.
Under et overfall vil disse gruppene stjele verdifull bedriftsinformasjon i forkant av kryptering av et offers systemer. Hvis de nekter å betale opp, står disse organisasjonene overfor trusselen om at disse dataene blir lekket til offentligheten eller solgt.
Men MosesStaff er åpen om sine intensjoner: angrepene er politiske. Det stilles ikke krav om løsepenger — det eneste formålet er å stjele informasjon og å forårsake skade.
“På angripernes språk er formålet deres å “kjempe motstanden og avsløre forbrytelsene til sionistene i de okkuperte områdene,” sier HLR.
Forskerne antar at innledende tilgang oppnås gjennom sårbarheter i offentlige systemer, for eksempel feilene i Microsoft Exchange Server, som ble korrigert tidligere i år.
Når tilgangen er sikret, slipper MosesStaff et webshell for å utføre ytterligere kommandoer; batch-skript for å deaktivere Windows-brannmur og for å aktivere SMB; PsExec for ekstern drift av prosesser, og OICe.exe, en kjørbar fil skrevet i Golang-programmeringsspråket for å motta og utføre kommandoer via kommandolinjen.
Data blir deretter eksfiltrert fra offermaskinen, inkludert domenenavn, maskinnavn og påloggingsinformasjon – informasjon som deretter brukes til å kompilere en tilpasset versjon av PyDCrypt malware. Denne nyttelasten er fokusert på å infisere andre sårbare maskiner på et nettverk, samt å sikre at hovedkrypteringsnyttelasten, DCSrv, utføres riktig. DCSrv er basert på åpen kildekode DiskCryptor-verktøyet.
DiskCryptor-oppstartslasteren kjøres også for å sikre at systemet ikke kan startes opp igjen uten passord. Forskerne sier imidlertid at det under de rette omstendighetene kan være mulig å reversere den nåværende krypteringsprosessen hvis riktig oppbevarte EDR-oppføringer er tilgjengelige.
Attribusjonen er ikke sikker i dette tilfellet, men HLR mistenker at de kan være lokalisert i Palestina på grunn av utviklingstidslogger og kodetråder i et verktøy som ble brukt, OICe.exe, som ble sendt inn til VirusTotal fra Palestina flere måneder før kampanjen startet.
“Som Pay2Key- og BlackShadow-gjengene før dem, er MosesStaff-gruppen motivert av politikk og ideologi for å målrette israelske organisasjoner,” kommenterte forskerne. “I motsetning til disse forgjengerne, gjorde de imidlertid en direkte feil da de satte sammen sitt eget krypteringsskjema, som ærlig talt er en overraskelse i dagens landskap der hver to-bits nettkriminelle ser ut til å vite i det minste det grunnleggende om hvordan man setter sammen fungerende løsepengevare. ”
Tidligere og relatert dekning
Møt Lyceum: Iranske hackere som retter seg mot telekom, Internett-leverandører
Ny avansert hackinggruppe retter seg mot regjeringer, ingeniører over hele verden
DeadRinger: Kinesiske APT-er streiker store telekommunikasjonsselskaper
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Security TV | Databehandling | CXO | Datasentre