Η CISA δημοσίευσε μια ανάλυση του FiveHands ransomware που ανακαλύφθηκε πρόσφατα από την Mandiant της FireEye. Στα τέλη Απριλίου, ερευνητές από την Mandiant της FireEye αποκάλυψαν ότι μια εξελιγμένη συμμορία κυβερνοεγκλήματος που παρακολουθείται ως “UNC2447” έχει εκμεταλλευτεί μία zero-day ευπάθεια (CVE-2021-20016) στις συσκευές SonicWall Secure Mobile Access (SMA), που εντοπίστηκε νωρίτερα φέτος, προτού η εταιρεία προλάβει να την διορθώσει.
Η UNC2447 στοχεύει οργανισμούς στην Ευρώπη και τη Βόρεια Αμερική, χρησιμοποιώντας ένα ευρύ φάσμα malware τους τελευταίους μήνες. Ανάμεσα στα malware που έχει χρησιμοποιήσει η ομάδα από τον Νοέμβριο του 2020 περιλαμβάνονται τα Sombrat, FiveHands, το Warprism PowerShell dropper, το Cobalt Strike beacon και το FoxGrabber. Κατά την δραστηριότητα εκβιασμού, η UNC2447 χρησιμοποίησε το FiveHands ransomware, με τους κυβερνοεγκληματίες να απειλούν τα θύματα ότι θα αποκαλύψουν το hack τους στα μέσα ενημέρωσης ή ότι θα πουλήσουν τα δεδομένα τους σε hacking φόρουμ.
Διαβάστε επίσης: Ransomware ομάδα εκμεταλλεύεται SonicWall zero-day για να παραβιάσει δίκτυα
Η έκθεση ανάλυσης malware (MAR) που δημοσιεύτηκε από την CISA, περιλαμβάνει λεπτομερή ανάλυση 18 κακόβουλων αρχείων που υποβλήθηκαν στον οργανισμό. Ένα από τα αρχεία είναι ένα νέο στέλεχος ransomware, οκτώ αρχεία είναι εργαλεία δοκιμής διείσδυσης ανοιχτού κώδικα και εργαλεία εκμετάλλευσης που αναφέρονται ως FiveHands και τα αρχεία σχετίζονται με το SombRAT RAT.
Η CISA ανακάλυψε μια πρόσφατη επιτυχημένη κυβερνοεπίθεση εναντίον ενός οργανισμού, κατά την οποία χρησιμοποιήθηκαν το FiveHands ransomware, το SombRAT και εργαλεία ανοιχτού κώδικα για την κλοπή πληροφοριών και αρχείων, και την μετέπειτα απαίτηση λύτρων.
Η MAR περιλαμβάνει προτεινόμενες δράσεις απόκρισης και προτεινόμενες τεχνικές μετριασμού, για τον μετριασμό του κινδύνου κυβερνοεπιθέσεων.
Δείτε ακόμη: Συνεργασία Cuba ransomware με Hancitor malware για spam-επιθέσεις
Το FiveHands ransomware κρυπτογραφεί επίσης αρχεία στο recovery folder στο C: \ Recovery, και στη συνέχεια γράφει ένα σημείωμα λύτρων σε κάθε φάκελο και κατάλογο στο σύστημα, με την ονομασία «read_me_unlock.txt». Οι χάκερς χρησιμοποιούν το SombRAT ως μέρος της επίθεσης, για λήψη και εκτέλεση επιπλέον κακόβουλων payloads.
Πρόταση: Η QNAP προειδοποιεί για επιθέσεις AgeLocker ransomware σε συσκευές NAS
Το FiveHands ransomware χρησιμοποιεί ένα πρόγραμμα κρυπτογράφησης δημοσίου κλειδιού που ονομάζεται “NTRUEncrypt”, απαριθμεί αντίγραφα Volume Shadow με Windows Management Instrumentation (WMI) προτού τα διαγράψει, για να καταστήσει αδύνατη την ανάκτηση δεδομένων. Τέλος, το FiveHands ransomware είναι γραμμένο σε C ++, ενώ έχει πολλές ομοιότητες με το DeathRansom – και τα δύο στελέχη malware φαίνεται να συνδέονται με το HelloKitty ransomware.
Πηγή πληροφοριών: securityaffairs.co
