Η συμμορία του PYSA ransomware χρησιμοποιεί ένα Trojan απομακρυσμένης πρόσβασης (RAT) γραμμένο στη γλώσσα προγραμματισμού Golang (Go), στα πλαίσια νέων επιθέσεων εναντίον εγκαταστάσεων υγειονομικής περίθαλψης και εκπαιδευτικών ιδυμάτων των ΗΠΑ. Πρόκειται για το ChaChi που έχει ως στόχο την κλοπή δεδομένων, τα οποία αργότερα θα χρησιμοποιηθούν σε τακτικές διπλού εκβιασμού για την απαίτηση λύτρων από τα θύματα. Η ερευνητική ομάδα του BlackBerry Threat Research and Intelligence ανέφερε στις 22 Ιουνίου ότι το νέο ChaChi malware χρησιμοποιείται επίσης ως βασικό στοιχείο για την εκτέλεση ransomware επιθέσεων.
Διαβάστε επίσης: Νέο malware εμποδίζει τα θύματα να επισκεφτούν “πειρατικά sites”
Όπως αναφέραμε προηγουμένως, το ChaChi είναι γραμμένο στη GoLang, μια γλώσσα προγραμματισμού που τώρα υιοθετείται ευρέως από παράγοντες απειλής, σε μια μετατόπιση από τη C και τη C ++, λόγω της ευελιξίας της και της ευκολίας σύνταξης κωδικών μεταξύ πλατφορμών.
Σύμφωνα με την Intezer, παρατηρήθηκε αύξηση κατά περίπου 2.000% στα δείγματα Go-based malware τα τελευταία χρόνια.
Το ChaChi ανακαλύφθηκε το πρώτο εξάμηνο του 2020 και η αρχική παραλλαγή του RAT Trojan συνδέθηκε με κυβερνοεπιθέσεις εναντίον γαλλικών αρχών, οι οποίες αναφέρονται από την έκθεση CERT France σε μια αναφορά Indators of Compromise (IoC). Ωστόσο τώρα, έχει εμφανιστεί μια πολύ πιο περίπλοκη παραλλαγή του malware.
Δείτε ακόμη: Πως το νέο malware Siloscape παραβιάζει τα “Kubernetes clusters”;
Τα πιο πρόσφατα διαθέσιμα δείγματα έχουν συνδεθεί με επιθέσεις εναντίον μεγάλων εκπαιδευτικών ιδρυμάτων των ΗΠΑ.
Συγκριτικά με την πρώτη παραλλαγή του ChaChi, η οποία είχε law-level δυνατότητες, το malware είναι πλέον σε θέση να εκτελεί τυπικές δραστηριότητες RAT, συμπεριλαμβανομένης της δημιουργίας backdoor και της απομάκρυνσης δεδομένων, καθώς και του credential dumping μέσω της υπηρεσίας υποσυστήματος αρχής τοπικής ασφάλειας των Windows (LSASS), απαρίθμηση δικτύου, DNS tunneling, SOCKS proxy functionality, δημιουργία υπηρεσιών και πλευρική κίνηση μεταξύ δικτύων.
Το malware χρησιμοποιεί επίσης ένα δημόσια προσβάσιμο εργαλείο GoLang, το gobfuscate, για σκοπούς obfuscation. Το ChaChi έλαβε την ονομασία του από τα Chashell και Chisel, δύο εργαλεία που χρησιμοποιούνται από το malware κατά τη διάρκεια επιθέσεων και που έχουν τροποποιηθεί για αυτούς τους σκοπούς. Το Chashell είναι ένα reverse shell έναντι του παρόχου DNS, ενώ το Chisel είναι ένα port-forwarding σύστημα.
Πρόταση: Ευρώπη: Διπλασιάστηκαν οι σοβαρές κυβερνοεπιθέσεις το 2020
Οι ερευνητές της BlackBerry πιστεύουν ότι το Trojan είναι έργο της συμμορίας του PYSA / Mespinoza, μιας ομάδας που δραστηριοποιείται στο τοπίο των απειλών από το 2018. Αυτή η ομάδα είναι γνωστή για την εκτέλεση ransomware εκστρατειών καθώς και για τη χρήση της επέκτασης .PYSA κατά την κρυπτογράφηση των αρχείων των εκάστοτε θυμάτων. Το PYSA σημαίνει “Προστάτεψε το σύστημά σου Amigo” (Protect Your System Amigo).
Το FBI έχει εκδώσει στο παρελθόν προειδοποιήσεις για αύξηση των επιθέσεων της εν λόγω συμμορίας εναντίον σχολείων του Ηνωμένου Βασιλείου και των ΗΠΑ.
Σύμφωνα με τους ερευνητές, η συμμορία εστιάζει κυρίως σε υψηλού προφίλ στοχους που μπορούν να πληρώσουν τεράστια ποσά σε λύτρα. Τέλος, οι επιθέσεις ελέγχονται συνήθως από έναν ανθρώπινο χειριστή και όχι από ένα task αυτοματοποιημένων εργαλείων.
Πηγή πληροφοριών: zdnet.com
