Zestawienie tygodniowe 28 czerwca – 5 lipca

Nowy ransomware przypisywany Wizard Spider

Wizard Spider, znany gang cyberprzestępczy, który zarządzał botnetem TrickBot oraz rodzinami ransomware Ryuk i Conti, mógł stworzyć nową rodzinę oprogramowania ransomware, donosi Fortinet.

Oprogramowanie ransomware nazwane Diavol wykazuje podobieństwa do Conti, ale obserwowanym atakom brakuje niektórych taktyk wcześniej kojarzonych z Wizard Spiderem.

Na zainfekowanych maszynach oprogramowanie ransomware umieszcza w każdym folderze tekstową notatkę z żądaniem okupu, informując ofiary, że dane zostały wykradzione i grożąc publicznemu ujawnieniu, jeśli nie zostanie dokonana płatność.

Badacze bezpieczeństwa Fortinet twierdzą jednak, że żadna z zaobserwowanych przez nich próbek Diavol nie ma możliwości kradzieży danych, ale nie wykluczają możliwości dodania tej funkcji w przyszłej aktualizacji.

Skompilowany z Microsoft Visual C/C++ Compiler, Diavol używa do szyfrowania asynchronicznych wywołań procedur (APC) w trybie użytkownika, które są znacznie wolniejsze w porównaniu z algorytmami symetrycznymi. Po uruchomieniu złośliwe oprogramowanie zaczyna sprawdzać argumenty wiersza poleceń, aby skanować w poszukiwaniu określonych plików lub folderów i szyfrować lokalne partycje lub udziały sieciowe.

Oprogramowanie ransomware przechowuje swoje główne procedury w obrazach bitmapowych, które są przechowywane w sekcji zasobów PE. W sumie zidentyfikowano 14 procedur, w tym jedną, która nakazuje Diavol zatrzymanie usług i procesów i drugą, która usuwa kopie w tle.

W ramach obserwowanego ataku Diavol został wdrożony w połączeniu z Conti, choć na różnych maszynach. Oba używają prawie identycznych parametrów wiersza poleceń i tej samej funkcjonalności i działają z asynchronicznymi operacjami podczas kolejkowania plików do szyfrowania, co sugeruje bliskie połączenie między nimi.

Pomimo tego, że atak został przypisany Wizardowi Spiderowi, firma Fortinet zauważyła również pewne różnice między Diavol i Conti, takie jak brak kontroli, aby złośliwe oprogramowanie nie zainfekowało rosyjskich ofiar oraz brak wyraźnych dowodów na podwójne wymuszenie.

Badacze zauważyli również podobieństwa między żądaniem okupu Diavola a oprogramowaniem ransomware Egregor, obsługiwanym przez Twisted Spider. Chociaż gang jest podobno powiązany z Wizard Spiderem, uważa się, że obaj prowadzą własne, oddzielne operacje.

Ciekawy atak na urząd certyfikacji w Mongolii

Według badaczy bezpieczeństwa z Avast, nieznany aktor złamał serwery mongolskiego urzędu certyfikacji (CA) MonPass i użył strony internetowej organizacji w celu dystrybucji złośliwego oprogramowania.

Wygląda na to, że główny urząd certyfikacji w Azji Wschodniej, MonPass, został zaatakowany co najmniej sześć miesięcy temu, a hakerzy wracali na skompromitowany publiczny serwer sieciowy około ośmiu razy.

Według Avast, atakujący wykonali backdoorowe instalatory dystrybuowane za pośrednictwem strony internetowej organizacji. Nawet oficjalny klient MonPass został naruszony, a zainfekowane pliki binarne były dystrybuowane między 8 lutego a 3 marca 2021 roku.

Badacze bezpieczeństwa zidentyfikowali osiem różnych powłok internetowych i „tylnych drzwi” na zaatakowanym publicznym serwerze sieciowym. Jednocześnie odmówili przypisania ataków znanemu podmiotowi, ale powiedzieli, że niektóre z zaobserwowanych szczegółów technicznych pokrywają się z tymi, które zostały zawarte przez badaczy NTT Security Threat Intelligence w raporcie na temat powiązanej z Chinami grupy Winnti.

Złośliwy instalator został zaprojektowany w celu pobrania legalnego instalatora MonPass z oficjalnej strony internetowej i uruchomienia go, aby uniknąć wzbudzania podejrzeń. W tym samym czasie szkodliwe oprogramowanie pobierało plik obrazu bitmapowego zawierający ukryty w nim kod za pomocą steganografii.