Το Cheerscrypt ransomware έχει συνδεθεί με μια κινεζική ομάδα hacking που ονομάζεται “Emperor Dragonfly”, που είναι γνωστό ότι συνεχώς χρησιμοποιεί διαφορετικά ransomware για να αποφύγει τον εντοπισμό.
Δείτε επίσης: Optus παραβίαση δεδομένων: Οι αριθμοί ταυτότητας 2,1 εκατομμυρίων πελατών εκτέθηκαν
Η συμμορία ransomware παρακολουθείται με διαφορετικά ονόματα, όπως Bronze Starlight (Secureworks) και DEV-0401 (Microsoft) και έχει δει να χρησιμοποιεί μια μεγάλη ποικιλία οικογενειών ransomware από το 2021.
Ενώ η ομάδα hacking φαίνεται να λειτουργεί ως επιχείρηση ransomware, προηγούμενη έρευνα δείχνει ότι πολλά από τα θύματά τους είναι στόχοι που ενδιαφέρουν την κινεζική κυβέρνηση.
H Newpark Resources χτυπήθηκε από Ransomware
Πρόστιμο ΜΕΤΑ: Παράνομη Συλλογή Δεδομένων στην Νότια Κορέα
Έργο τέχνης του ρομπότ Ai-Da πωλήθηκε για $ 1,3 εκατ.
Δείτε επίσης: Η ομάδα Water Labbu εισβάλλει σε crypto scam sites άλλων χάκερ και «κλέβει χρήματα»
Αυτό οδήγησε τους ερευνητές να πιστέψουν ότι οι δραστηριότητες ransomware της ομάδας hacking θα μπορούσαν να αποτελέσουν κάλυψη για εκστρατείες κυβερνοκατασκοπείας που χρηματοδοτούνται από την κινεζική κυβέρνηση.
Night Sky και Cheerscrypt
Κατά τη διάρκεια μιας απάντησης σε περιστατικό νωρίτερα μέσα στην χρονιά, οι ειδικοί ασφαλείας της Sygnia διαπίστωσαν ότι οι χάκερ εκμεταλλεύτηκαν την ευπάθεια Log4j του Apache ‘Log4Shell’ (CVE-2021-44228) για να εκτελέσουν εντολές PowerShell, η οποία εκκινεί μια τεχνική DLL-sideloading χαρακτηριστική των Night Sky TTPs.
Στη συνέχεια, οι εισβολείς έριξαν ένα beacon Cobalt Strike συνδεδεμένο με μια διεύθυνση C2 που προηγουμένως σχετιζόταν με τις λειτουργίες του Night Sky.
Οι εισβολείς ανέπτυξαν τρία εργαλεία Go που σπάνια εμφανίζονται στον χώρο του ransomware: ένα τροποποιημένο Aliyun OSS keylogger, μια προσαρμοσμένη έκδοση του εργαλείου προώθησης θυρών και proxy «IOX» και μια προσαρμοσμένη έκδοση του εργαλείου tunneling «NPS».
Δείτε επίσης: Συνεργός της Netwalker ransomware καταδικάστηκε σε 20 χρόνια φυλάκιση
Μετά από αναγνώριση και πλευρική κίνηση, ακολουθώντας τα βήματα των προηγούμενων επιθέσεων του Night Sky, το στέλεχος ransomware που αναπτύχθηκε δεν ήταν το Night Sky αλλά το Cheerscrypt, κρυπτογραφώντας μηχανές Windows και Linux ESXi.
Η Trend Micro εντόπισε για πρώτη φορά το ransomware «Cheers» τον Μάιο του 2022, αφού οι ερευνητές βρήκαν έναν encryptor που στόχευε τους servers VMware ESXi.
Όπως και άλλες ομάδες ransomware που στοχεύουν επιχειρήσεις, οι χάκερ παραβιάζουν δίκτυα, κλέβουν δεδομένα και κρυπτογραφούν συσκευές. Τα δεδομένα στη συνέχεια χρησιμοποιούνται σε τακτικές διπλού εκβιασμού για να πιέσουν ένα θύμα να πληρώσει λύτρα. Εάν δεν πληρωθούν λύτρα, τα κλεμμένα δεδομένα δημοσιεύονται σε έναν ιστότοπο διαρροής δεδομένων, που φαίνεται παρακάτω.
Συχνή εναλλαγή ransomware
Σύμφωνα με το Sygnia, το Cheerscrypt είναι μια ακόμη από τις συνεχείς προσπάθειες payload rebranding της ομάδας Emperor Dragonfly, που προσπαθεί να αποφύγει τον εντοπισμό.
Η ομάδα ransomware δεν λειτουργεί ως πλατφόρμα RaaS (Ransomware-as-a-Service) για affiliates αλλά μάλλον ως “μοναχικός λύκος” απομονωμένος από την υπόλοιπη κοινότητα του εγκλήματος στον κυβερνοχώρο.
Μια αναφορά του Ιουνίου 2022 από την Secureworks ανέφερε ότι ο συγκεκριμένος απειλητικός παράγοντας χρησιμοποιεί οικογένειες ransomware όπως το Night Sky, το Rook, το Pandora και το AtomSilo για να κρύψει εκστρατείες κυβερνοκατασκοπείας που χρηματοδοτούνται από την κυβέρνηση ως επιθέσεις με οικονομικά κίνητρα.
Τον ίδιο μήνα, η Microsoft ενημέρωσε ένα άρθρο σχετικά με τις λειτουργίες ransomware για να συμπεριλάβει την ομάδα hacking, την οποία παρακολουθεί ως DEV-0401, αποδίδοντας την σε κινέζους απειλητικούς παράγοντες.
Όπως και το Secureworks, η Microsoft εντόπισε ότι η ομάδα αλλάζει συνεχώς μεταξύ ransomware brands, συμπεριλαμβανομένων πρόσθετων στελεχών, όπως το LockFile και το LockBit 2.0.
Καθώς η ομάδα Emperor Dragonfly στοχεύει συνήθως ευπάθειες σε servers που εκτίθενται στο Διαδίκτυο, είναι απαραίτητο να εφαρμόσετε ενημερώσεις ασφαλείας στις συσκευές σας το συντομότερο δυνατό.
Καθώς η ομάδα είναι γνωστό ότι στοχεύει την ευπάθεια Log4j στους διακομιστές VMware Horizon, η εφαρμογή ενημερώσεων κώδικα σε αυτές τις συσκευές θα πρέπει να αποτελεί προτεραιότητα για όλους τους οργανισμούς.
Πηγή πληροφοριών: bleepingcomputer.com