Οι κυβερνοεγκληματίες στοχεύουν σε υβριδικές πλατφόρμες cloud με ένα ανησυχητικό νέο στέλεχος ransomware, αποκάλυψαν ερευνητές ασφαλείας της Microsoft.
Οι ειδικοί πληροφοριών απειλών από την εταιρεία δημοσίευσαν μια νέα ανάρτηση ιστολογίου προειδοποίηση για το Storm-0501, μια ομάδα θυγατρικών ransomware που είναι ενεργή από το 2021.
Η ομάδα έχει προειδοποιήσει ότι το Storm-0501 στοχεύει διαφορετικούς κλάδους σε όλες τις Ηνωμένες Πολιτείες, από την κυβέρνηση, την κατασκευή, τις μεταφορές και την επιβολή του νόμου.
Σκουριασμένο ransomware
Οι ερευνητές της Microsoft πιστεύουν ότι ο όμιλος έχει οικονομικά κίνητρα, που σημαίνει ότι δεν είναι ένας παίκτης που χρηματοδοτείται από το κράτος, καθώς στοχεύει εταιρείες με σκοπό να εκβιάσουν χρήματα, τα οποία στη συνέχεια χρησιμοποιούνται για τη χρηματοδότηση πρόσθετης κυβερνοεγκληματικής δραστηριότητας.
Όταν επιτίθεται, το Storm-0501 αναζητά ανεπαρκώς προστατευμένους, υπερβολικά προνομιούχους λογαριασμούς. Μόλις παραβιαστούν, οι λογαριασμοί χρησιμοποιούνται για την παραχώρηση πρόσβασης σε on-prem συσκευές και από εκεί, σε περιβάλλοντα cloud. Το επόμενο βήμα είναι να εδραιωθεί η επιμονή και να επιτραπεί η αμείωτη πλευρική κίνηση σε όλη την υποδομή.
Το τελευταίο βήμα είναι η εισαγωγή του ransomware. Στο παρελθόν, το Storm-0501 χρησιμοποιούσε δημοφιλείς παραλλαγές, όπως Hive, BlackCat (ALPHV), Hunters International και LockBit. Ωστόσο, σε ορισμένες από τις πιο πρόσφατες επιθέσεις, η ομάδα χρησιμοποίησε μια παραλλαγή ransomware που ονομάζεται Embargo.
Το Embargo είναι ένα σχετικά νέο στέλεχος, που αναπτύχθηκε στο Rust. Οι ερευνητές της Microsoft δηλώνουν ότι χρησιμοποιεί προηγμένες μεθόδους κρυπτογράφησης και λειτουργεί σύμφωνα με το μοντέλο RaaS (που σημαίνει ότι κάποιος άλλος αναπτύσσει και συντηρεί τον κρυπτογράφηση και έτσι παίρνει ένα μερίδιο από τα ενδεχόμενα λάθη). Κατά τη χρήση του Embargo, το Storm-0501 ακολουθεί την παλιά και αποδεδειγμένη τακτική του διπλού εκβιασμού, όπου πρώτα κλέβουν τα αρχεία ενός θύματος, μετά κρυπτογραφούν τα υπόλοιπα και απειλούν να τα διαρρεύσουν στο διαδίκτυο, εκτός εάν το θύμα πληρώσει λύτρα.
Στις περιπτώσεις που ανέλυσε η Microsoft, το Storm-0501 αξιοποίησε παραβιασμένους λογαριασμούς διαχειριστή τομέα και ανέπτυξε το Embargo μέσω προγραμματισμένων εργασιών. Τα ονόματα των δυαδικών αρχείων ransomware που χρησιμοποιήθηκαν ήταν PostalScanImporter.exe και win.exe. Οι επεκτάσεις των κρυπτογραφημένων αρχείων ήταν .partial, .564ba1 και .embargo.
Αξίζει επίσης να αναφέρουμε ότι το Storm-0501 μερικές φορές απέχει από την ανάπτυξη του κρυπτογραφητή και απλώς διατηρεί την πρόσβαση στο δίκτυο.
VIA: TechRadar.com/
