De MosesStaff-hackgroep is de 'ransomware'-strijd ingegaan met een verschil: chantagebetalingen zijn het verst van hun gedachten.
Op 15 november zei Check Point Research (CPR) dat de groep zich in september van dit jaar begon te richten op organisaties in Israël, door zich aan te sluiten bij campagnes die werden gelanceerd door Pay2Key en BlackShadow.
De focus van deze operaties was het inzetten van ransomware op de systemen van hun slachtoffers en het veroorzaken van schade, evenals het stelen van waardevolle informatie die bestemd was voor toekomstige, openbare lekken.
Ransomware-operators, waaronder Maze, Conti en LockBit, om er maar een paar te noemen, hebben dubbele afpersingstactieken aangenomen door de lancering van speciale datalekwebsites op het Dark Web.
Tijdens een aanval zullen deze groepen waardevolle bedrijfsinformatie stelen voordat de systemen van het slachtoffer worden versleuteld. Als ze weigeren te betalen, lopen deze organisaties vervolgens het risico dat deze gegevens openbaar worden gemaakt of worden verkocht.
MozesStaff is echter open over zijn bedoelingen: de aanslagen zijn politiek. Er wordt geen losgeld geëist — het enige doel is om informatie te stelen en schade aan te richten.
“In de taal van de aanvallers is hun doel om” tegen het verzet te vechten en de misdaden van de zionisten in de bezette gebieden aan het licht te brengen “, zegt CPR.
De onderzoekers gaan ervan uit dat de eerste toegang wordt verkregen door kwetsbaarheden in openbare systemen, zoals de bugs in Microsoft Exchange Server, die eerder dit jaar zijn gepatcht.
Zodra de toegang is beveiligd, laat MosesStaff een webshell vallen om verdere opdrachten uit te voeren; batchscripts voor het uitschakelen van de Windows-firewall en het inschakelen van SMB; PsExec voor het op afstand bedienen van processen, en OICe.exe, een uitvoerbaar bestand dat is geschreven in de programmeertaal Golang voor het ontvangen en uitvoeren van opdrachten via de opdrachtregel.
Gegevens worden vervolgens van de slachtoffermachine geëxfiltreerd, inclusief domeinnamen, machinenamen en inloggegevens – informatie die vervolgens wordt gebruikt om een aangepaste versie van de PyDCrypt-malware te compileren. Deze payload is gericht op het infecteren van andere kwetsbare machines op een netwerk en zorgt er ook voor dat de belangrijkste encryptie-payload, DCSrv, correct wordt uitgevoerd. DCSrv is gebaseerd op de open source DiskCryptor-tool.
De DiskCryptor-bootloader wordt ook uitgevoerd om ervoor te zorgen dat het systeem niet opnieuw kan worden opgestart zonder wachtwoord. De onderzoekers zeggen echter dat het onder de juiste omstandigheden mogelijk kan zijn om het huidige versleutelingsproces terug te draaien als er goed bijgehouden EDR-records beschikbaar zijn.
De toeschrijving is in dit geval niet definitief, maar CPR vermoedt dat ze zich in Palestina bevinden vanwege de ontwikkelingstijdlogboeken en coderingsaanwijzingen in een gebruikt hulpmiddel, OICe.exe, dat enkele maanden voordat de campagne begon aan VirusTotal werd ingediend vanuit Palestina.
“Net als de Pay2Key- en BlackShadow-bendes vóór hen, wordt de MosesStaff-groep gemotiveerd door politiek en ideologie om zich te richten op Israëlische organisaties”, aldus de onderzoekers. “In tegenstelling tot die voorgangers maakten ze echter een regelrechte fout toen ze hun eigen encryptieschema samenstelden, wat eerlijk gezegd een verrassing is in het huidige landschap waar elke twee-bits cybercrimineel op zijn minst de basis lijkt te kennen van het samenstellen van functionerende ransomware. ”
Eerdere en gerelateerde berichtgeving
Maak kennis met Lyceum: Iraanse hackers richten zich op telecom, ISP's
Nieuwe geavanceerde hackgroep richt zich op overheden, ingenieurs wereldwijd
DeadRinger: Chinese APT's vallen grote telecommunicatiebedrijven aan
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Security TV | Gegevensbeheer | CXO | Datacenters