Moneybird Ransomware gebruikt bij aanvallen op Israëlische entiteiten

ransomware

Agrius, een Iraanse hackgroep ook wel bekend als Pink Sandstorm en voorheen Americium, heeft een nieuw type ransomware ontwikkeld genaamd Moneybird. Onderzoekers van CheckPoint ontdekten deze gevaarlijke malware, wat een significante verandering betekent in de tactiek van Agrius nu ze zich richten op Israëlische organisaties.

Agrius heeft een geschiedenis van het uitvoeren van destructieve aanvallen op het wissen van gegevens op Israëlische entiteiten, vaak vermomd als ransomware-infecties. De ontwikkeling van Moneybird, geprogrammeerd in C++, toont de groeiende vaardigheden van de groep en de voortdurende inzet voor het creëren van nieuwe cybertools.

Sinds ten minste december 2020 is Agrius terug te voeren op verstorende inbraken gericht op diamantindustrieën in Zuid-Afrika, Israël en Hong Kong. In het verleden gebruikte de groep een op .NET gebaseerde ransomware genaamd Apostel, die later uitgroeide tot Fantasy. Moneybird, gecodeerd in C++, demonstreert echter de evoluerende cybercapaciteiten van de groep.

Moneybird - Voortplanting en activiteit

De Moneybird-ransomwareoperatie demonstreert de toenemende technische expertise en toewijding van Agrius bij het ontwikkelen van nieuwe cybertools. Het maakt gebruik van een geavanceerde aanvalsmethode die begint met het misbruiken van kwetsbaarheden in openbaar toegankelijke webservers. Deze initiële exploitatie maakt de implementatie van een ASPXSpy-webshell mogelijk, die dient als het eerste toegangspunt tot het netwerk van de beoogde organisatie.

Eenmaal binnen, fungeert de webshell als een communicatiekanaal om een reeks bekende tools te leveren die zijn ontworpen voor diepgaande verkenning, zijwaartse verplaatsing, het verzamelen van referenties en het exfiltreren van gevoelige gegevens in de omgeving van het slachtoffer.

Vervolgens wordt Moneybird-ransomware ingezet op de gecompromitteerde host en richt het zich specifiek op gevoelige bestanden in de map "F:\User Shares". Bij uitvoering laat de ransomware een losgeldbrief achter, waardoor de slachtoffers onder druk worden gezet om binnen 24 uur contact op te nemen, anders riskeren ze dat hun gestolen gegevens publiekelijk worden gelekt.

Moneybird gebruikt AES-256 met GCM voor codering, waarbij een geavanceerde techniek wordt gebruikt die unieke coderingssleutels voor elk bestand genereert. Versleutelde metagegevens worden aan het einde van elk bestand toegevoegd, waardoor het herstellen en ontsleutelen van gegevens in de meeste gevallen een grote uitdaging, zo niet onmogelijk is.

Wat zijn Advanced Persistent Threat Actors of APT's?

Advanced Persistent Threat Actors (APT's) zijn geavanceerde en zeer bekwame bedreigingsactoren of hackgroepen die langdurige, gerichte cyberaanvallen uitvoeren tegen specifieke organisaties, vaak met de steun van natiestaten of goed uitgeruste entiteiten. APT's worden gekenmerkt door hun geavanceerde technieken, volharding en intentie om gedurende langere tijd gerichte systemen te infiltreren en in gevaar te brengen, waarbij ze vaak onopgemerkt blijven.

Hier zijn enkele belangrijke kenmerken en eigenschappen die verband houden met APT's:

  • Geavanceerde technieken: APT-actoren maken gebruik van geavanceerde hacktechnieken, waaronder zero-day exploits, aangepaste malware, rootkits en geavanceerde social engineering-tactieken. Ze ontwikkelen voortdurend hun methoden om beveiligingsmaatregelen te omzeilen en hun toegang te behouden.
  • Persistentie: APT's zetten zich in om hun doelstellingen te bereiken en langdurig aanwezig te blijven binnen gecompromitteerde systemen. Ze kunnen meerdere toegangspunten tot stand brengen, achterdeurtjes creëren en onopvallende communicatiekanalen gebruiken om doorzettingsvermogen te behouden.
  • Gerichte aanvallen: APT's richten zich op specifieke doelen, zoals overheidsinstanties, defensie-aannemers, kritieke infrastructuur, onderzoeksinstellingen of multinationale ondernemingen. Ze voeren grondige verkenningen uit om informatie te verzamelen en hun aanvallen af te stemmen op specifieke kwetsbaarheden in de infrastructuur van het doelwit.
  • Ondersteuning door natiestaten: APT's worden vaak geassocieerd met natiestaten of door staten gesponsorde entiteiten die op zoek zijn naar politieke, economische of militaire voordelen. Ze kunnen over aanzienlijke middelen, inlichtingencapaciteiten en wettelijke bescherming beschikken, waardoor ze uitgebreide en langdurige campagnes kunnen uitvoeren.
  • Gegevensexfiltratie: Een primair doel van APT's is het exfiltreren van waardevolle gegevens, waaronder intellectueel eigendom, handelsgeheimen, geheime informatie of persoonlijk identificeerbare informatie (PII). De gestolen gegevens kunnen worden misbruikt voor spionage, economisch gewin, concurrentievoordeel of toekomstige cyberoperaties.
  • Geheime operaties: APT's geven prioriteit aan het behouden van een onopvallend profiel en het vermijden van detectie. Ze gebruiken geavanceerde ontwijkingstechnieken, zoals anti-forensische maatregelen, codering en verduistering om hun activiteiten te verbergen en beveiligingssystemen te omzeilen.

Voorbeelden van bekende APT-groepen zijn APT29 (ook bekend als Cozy Bear of The Dukes), APT28 (ook bekend als Fancy Bear of Sofacy), Equation Group, Comment Crew en Lazarus Group.

May 26, 2023
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.