Nowe motywacje dla ransomware: Korea Północna i Iran

Korea Północna

Na początku tego roku pojawiła się nowa rodzina oprogramowania ransomware VHD. Według badaczy z Kaspersky-ego, to dzieło powiązanej z Koreą Północną grupy Lazarus. Aktywny od ponad dekady, Lazarus był kojarzony z różnymi atakami motywowanymi finansowo, takimi jak ataki na giełdy kryptowalut.

W ciągu ostatnich kilku miesięcy Lazarusowi przypisywano kilka rodzin złośliwego oprogramowania, w tym nowe rodziny złośliwego oprogramowania dla komputerów Mac oraz wieloplatformowy szkielet MATA. Teraz Kaspersky ujawnia, że Lazarus obsługuje również oprogramowanie ransomware VHD, co zaobserwowano w dwóch kampaniach w marcu i maju 2020 r.

Chociaż ataki ransomware były również przypisywane Lazarusowi w przeszłości, badacze bezpieczeństwa wykazali, że w niektórych przypadkach niesprawiedliwie. Niemniej teraz, Analitycy z Kaspersky są jednak przekonani, że północnokoreańscy hakerzy rzeczywiście dodali oprogramowanie ransomware do swojego arsenału, atakując przedsiębiorstwa w celu uzyskania korzyści finansowych.

Oprogramowanie ransomware VHD zostało początkowo zaobserwowane podczas ataku w Europie, rozprzestrzeniającego się w zaatakowanych sieciach poprzez brutalne wymuszenie usługi SMB zidentyfikowanych komputerów przy użyciu „listy poświadczeń administracyjnych i adresów IP właściwych dla ofiary” – mówi Kaspersky.

Udział sieciowy zostałby zamontowany po pomyślnym połączeniu się z maszyną, a oprogramowanie ransomware skopiowane i wykonane za pośrednictwem uruchamianych poleceń WMI, technika przypominająca kampanie APT.

Jednak w ataku zaobserwowanym w maju 2020 r. ransomware VHD zostało wdrożone na wszystkich maszynach w sieci za pomocą narzędzia do pobierania Pythona. Aby uzyskać wstępny dostęp, hakerzy wykorzystali lukę VPN, po czym uzyskali uprawnienia administracyjne i wdrożyli backdoora, aby złamać zabezpieczenia serwera Active Directory (takie działania są elementem większości zaawansowanych ataków, dlatego piszemy o tym z uporem między innymi w tej kampanii).

Backdoor w tym wypadku to wersja wieloplatformowego frameworka zwanego MATA, który jest również nazywany Dacls RAT. Kaspersky twierdzi, że dochodzenie w sprawie tego incydentu wykazało, że w sieci ofiary był obecny co najmniej jeden aktor.

„Dane, którymi dysponujemy, wskazują, że oprogramowanie ransomware VHD nie jest produktem komercyjnym gotowym do użycia; i o ile wiemy, grupa Lazarus jest jedynym właścicielem frameworka MATA. Dlatego dochodzimy do wniosku, że oprogramowanie ransomware VHD jest również własnością Lazarusa i jest przez niego obsługiwane” – twierdzą badacze bezpieczeństwa.

Lazarus, który był zaangażowany w przestępstwa finansowe wraz z typowymi atakami na państwa, prawdopodobnie zdecydował się przejść na operacje solo, ponieważ ma trudności z interakcją z innymi cyberprzestępcami lub ponieważ nie chce już dzielić się zyskami z innymi- twierdzą specjaliści z Kaspersky.

Iran

Z kolei Group-IB donosi, że ostatnie ataki ransomware Dharma pokazują, że nie tylko koreańscy, ale również ich irańscy koledzy zaczęli się angażować w operacje motywowane finansowo.

Nazywana również Crysis, rodzina ransowmare jest oferowana w modelu ransomware-as-a-service (RaaS) od 2016 roku, głównie związanym z atakami opartymi na protokole zdalnego pulpitu (RDP). Jednak w marcu tego roku można było kupić kod źródłowy szkodliwego oprogramowania. W opublikowanym w poniedziałek raporcie Group-IB ujawniła, że ataki ransomware Dharma zaobserwowane w czerwcu tego roku były dziełem nowo odkrytej irańskiej grupy hakerów, a celem były organizacje w Chinach, Indiach, Japonii i Rosji. Atakujący zażądali okupu w wysokości od 1 do 5 Bitcoinów.

Zaobserwowano, że osoby atakujące mieszały oprogramowanie ransomware z różnymi publicznie dostępnymi narzędziami i skupiały swoje wysiłki na firmach z systemami RDP połączonymi z Internetem i zabezpieczonymi słabymi poświadczeniami. Dokładna liczba ofiar nie została jeszcze ustalona.

Niektóre z narzędzi wykorzystywanych w tych atakach obejmują skaner portów IP Masscan do identyfikowania wrażliwych celów oraz narzędzie NLBrute do ataku Brute-Force na usługi RDP w celu uzyskania dostępu do zidentyfikowanych maszyn. W niektórych atakach hakerzy wykorzystali exploita dla CVE-2017-0213, próbując podnieść uprawnienia.

„Nowo odkryta grupa hakerów sugeruje, że Iran, który od lat jest znany jako kolebka sponsorowanych przez państwo grup APT, teraz również obsługuje cyberprzestępców zmotywowanych finansowo” – zauważa Group-IB.

Badacze bezpieczeństwa zauważają, że hakerzy stojący za tymi atakami to nowicjusze, którzy prawdopodobnie nie mieli jasnego planu działania po uzyskaniu dostępu do zaatakowanych sieci. Korzystając z nowo ustanowionego połączenia RDP, napastnicy próbowali wyłączyć wbudowane oprogramowanie antywirusowe za pomocą Defender Control i Your Uninstaller, jednocześnie wykorzystując Advanced Port Scanner do wykrywania dostępnych w sieci hostów.

Po rozpoznaniu napastnicy próbowali wykonać ruch boczny, korzystając z protokołu RDP. Na ostatnim etapie ataku porzucali i ręcznie uruchamiali wariant oprogramowania ransomware Dharma na zaatakowanych hostach (nieskromnie zauważę w tym miejscu, że cały KillChain cyberataku opisaliśmy tutaj).

„Fakt, że kod źródłowy Dharma został szeroko udostępniony, doprowadził do wzrostu liczby operatorów, którzy go wdrażają” – powiedział Oleg Skulkin, starszy analityk DFIR w Group-IB.

„Zaskakujące jest, że Dharma trafiła w ręce irańskich dzieciaków, które wykorzystywały ją do zysków finansowych, ponieważ Iran tradycyjnie był krajem sponsorowanych przez państwo napastników zajmujących się szpiegostwem i sabotażem”.

Właśnie te fakty, że grupy najprawdopodobniej niegdyś sponsorowana przez Państwo zaczynają się komercjalizować, jest niepokojący. Zaczynają się pojawiać coraz liczniej produkty działające jako „crime as a service” wykorzystując przestępczą chmurę jak normalny model biznesowy. Podnosi to globalne zagrożenie ransomware (już i tak wystarczająco duże). I niestety często ma poważne konsekwencje finansowe dla organizacji i ofiar, czasem prowadząc nawet do bankructwa.