Moneybird Ransomware που χρησιμοποιείται σε επιθέσεις σε ισραηλινές οντότητες

Η Agrius, μια ιρανική ομάδα hacking γνωστή και ως Pink Sandstorm και πρώην Americium, έχει αναπτύξει έναν νέο τύπο ransomware που ονομάζεται Moneybird. Οι ερευνητές του CheckPoint ανακάλυψαν αυτό το επικίνδυνο κακόβουλο λογισμικό, το οποίο σημαίνει μια σημαντική αλλαγή στις τακτικές του Agrius, καθώς στοχεύουν πλέον ισραηλινούς οργανισμούς.

Η Agrius έχει ιστορικό πραγματοποίησης καταστροφικών επιθέσεων σκουπίσματος δεδομένων σε ισραηλινές οντότητες, συχνά συγκαλύπτοντάς τις ως μολύνσεις ransomware. Η ανάπτυξη του Moneybird, προγραμματισμένη σε C++, δείχνει τις διευρυνόμενες δεξιότητες και τη συνεχή δέσμευση της ομάδας στη δημιουργία φρέσκων εργαλείων στον κυβερνοχώρο.

Τουλάχιστον από τον Δεκέμβριο του 2020, η Agrius εντοπίζεται σε παρεμβολές που στοχεύουν σε βιομηχανίες διαμαντιών στη Νότια Αφρική, το Ισραήλ και το Χονγκ Κονγκ. Στο παρελθόν, η ομάδα χρησιμοποιούσε ένα ransomware βασισμένο σε .NET που ονομάζεται Apostle, το οποίο αργότερα εξελίχθηκε σε Fantasy. Ωστόσο, το Moneybird, κωδικοποιημένο σε C++, επιδεικνύει τις εξελισσόμενες δυνατότητες της ομάδας στον κυβερνοχώρο.

Moneybird - Διάδοση και δραστηριότητα

Η λειτουργία ransomware Moneybird καταδεικνύει την αυξανόμενη τεχνική τεχνογνωσία και την αφοσίωση της Agrius στην ανάπτυξη νέων εργαλείων στον κυβερνοχώρο. Χρησιμοποιεί μια εξελιγμένη μεθοδολογία επίθεσης που ξεκινά με την εκμετάλλευση τρωτών σημείων σε διακομιστές Ιστού που εκτίθενται δημόσια. Αυτή η αρχική εκμετάλλευση επιτρέπει την ανάπτυξη ενός κελύφους ιστού ASPXSpy, το οποίο χρησιμεύει ως το πρώτο σημείο εισόδου στο δίκτυο του στοχευόμενου οργανισμού.

Μόλις μπει μέσα, το κέλυφος ιστού λειτουργεί ως κανάλι επικοινωνίας για την παροχή μιας σειράς γνωστών εργαλείων σχεδιασμένων για εις βάθος αναγνώριση, πλευρική κίνηση, συλλογή διαπιστευτηρίων και διήθηση ευαίσθητων δεδομένων στο περιβάλλον του θύματος.

Στη συνέχεια, το Moneybird ransomware αναπτύσσεται στον παραβιασμένο κεντρικό υπολογιστή και στοχεύει συγκεκριμένα ευαίσθητα αρχεία στο φάκελο "F:\User Shares". Κατά την εκτέλεση, το ransomware αφήνει πίσω του ένα σημείωμα λύτρων, πιέζοντας τα θύματα να έρθουν σε επαφή εντός 24 ωρών ή να διακινδυνεύσουν τα κλεμμένα δεδομένα τους να διαρρεύσουν δημόσια.

Το Moneybird χρησιμοποιεί το AES-256 με GCM για κρυπτογράφηση, χρησιμοποιώντας μια εξελιγμένη τεχνική που δημιουργεί μοναδικά κλειδιά κρυπτογράφησης για κάθε αρχείο. Τα κρυπτογραφημένα μεταδεδομένα επισυνάπτονται στο τέλος κάθε αρχείου, καθιστώντας την αποκατάσταση και την αποκρυπτογράφηση δεδομένων εξαιρετικά προκλητική, αν όχι αδύνατη, στις περισσότερες περιπτώσεις.

Τι είναι οι Advanced Persistent Threat Actors ή τα APT;

Οι Advanced Persistent Threat Actors (APT) είναι εξελιγμένοι και εξαιρετικά εξειδικευμένοι παράγοντες απειλών ή ομάδες χάκερ που διεξάγουν μακροπρόθεσμες, στοχευμένες επιθέσεις στον κυβερνοχώρο εναντίον συγκεκριμένων οργανισμών, συχνά με την υποστήριξη εθνικών κρατών ή οντοτήτων με καλούς πόρους. Τα APT χαρακτηρίζονται από τις προηγμένες τεχνικές τους, την επιμονή και την πρόθεσή τους να διεισδύσουν και να παραβιάσουν στοχευμένα συστήματα για εκτεταμένες περιόδους, συχνά παραμένοντας απαρατήρητα.

Ακολουθούν ορισμένα βασικά χαρακτηριστικά και γνωρίσματα που σχετίζονται με τα APT:

• Προηγμένες τεχνικές: Οι ηθοποιοί του APT χρησιμοποιούν προηγμένες τεχνικές hacking, συμπεριλαμβανομένων των exploits zero-day, προσαρμοσμένου κακόβουλου λογισμικού, rootkits και εξελιγμένων τακτικών κοινωνικής μηχανικής. Εξελίσσουν συνεχώς τις μεθόδους τους για να παρακάμψουν τα μέτρα ασφαλείας και να διατηρήσουν την πρόσβασή τους.
• Εμμονή: Τα APT δεσμεύονται να επιτύχουν τους στόχους τους και να διατηρούν μακροπρόθεσμη παρουσία σε παραβιασμένα συστήματα. Μπορούν να δημιουργήσουν πολλά σημεία εισόδου, να δημιουργήσουν κερκόπορτες και να χρησιμοποιήσουν κρυφά κανάλια επικοινωνίας για να διατηρήσουν την επιμονή.
• Στοχευμένες επιθέσεις: Τα APT επικεντρώνονται σε συγκεκριμένους στόχους, όπως κυβερνητικές υπηρεσίες, αμυντικοί εργολάβοι, κρίσιμες υποδομές, ερευνητικά ιδρύματα ή πολυεθνικές εταιρείες. Διεξάγουν ενδελεχή αναγνώριση για να συγκεντρώσουν πληροφορίες και να προσαρμόσουν τις επιθέσεις τους για να εκμεταλλευτούν συγκεκριμένα τρωτά σημεία στην υποδομή του στόχου.
• Υποστήριξη έθνους-κράτους: Τα APT συχνά συνδέονται με έθνη-κράτη ή κρατικές οντότητες που αναζητούν πολιτικά, οικονομικά ή στρατιωτικά πλεονεκτήματα. Μπορεί να διαθέτουν σημαντικούς πόρους, δυνατότητες πληροφοριών και νομική προστασία, που τους επιτρέπουν να πραγματοποιούν εκτεταμένες και παρατεταμένες εκστρατείες.
• Εξερεύνηση δεδομένων: Πρωταρχικός στόχος των APT είναι η διείσδυση πολύτιμων δεδομένων, συμπεριλαμβανομένης της πνευματικής ιδιοκτησίας, των εμπορικών μυστικών, των διαβαθμισμένων πληροφοριών ή των προσωπικών στοιχείων ταυτοποίησης (PII). Τα κλεμμένα δεδομένα μπορούν να αξιοποιηθούν για κατασκοπεία, οικονομικό όφελος, ανταγωνιστικό πλεονέκτημα ή μελλοντικές επιχειρήσεις στον κυβερνοχώρο.
• Μυστικές λειτουργίες: Τα APT δίνουν προτεραιότητα στη διατήρηση χαμηλού προφίλ και στην αποφυγή εντοπισμού. Χρησιμοποιούν εξελιγμένες τεχνικές φοροδιαφυγής, όπως μέτρα κατά της εγκληματολογίας, κρυπτογράφηση και συσκότιση για να κρύψουν τις δραστηριότητές τους και να αποφύγουν τα συστήματα ασφαλείας.

Παραδείγματα γνωστών ομάδων APT περιλαμβάνουν το APT29 (γνωστό και ως Cozy Bear ή The Dukes), το APT28 (επίσης γνωστό ως Fancy Bear ή Sofacy), το Equation Group, το Comment Crew και το Lazarus Group.