Hackers με ύποπτες διασυνδέσεις με την Κίνα και τη Βόρεια Κορέα έχουν εμπλακεί σε ransomware επιθέσεις και κρυπτογράφηση δεδομένων, στοχεύοντας κρίσιμες παγκόσμιες υποδομές μεταξύ 2021 και 2023.
Σύμφωνα με κοινή έκθεση των εταιρειών κυβερνοασφάλειας SentinelOne και Recorded Future, που κοινοποιήθηκε στο The Hacker News, ένα σύμπλεγμα δραστηριοτήτων σχετίζεται με την ομάδα ChamelGang (γνωστή και ως CamoFei), ενώ το δεύτερο σύμπλεγμα επικαλύπτεται με δραστηριότητα που αποδίδεται σε ομάδες, οι οποίες χρηματοδοτούνται από την Κίνα και τη Βόρεια Κορέα.
Διαβάστε σχετικά: Η σημασία της κρυπτογράφησης στα δεδομένα του cloud
Οι επιθέσεις του ChamelGang περιλαμβάνουν τον στόχο του All India Institute of Medical Sciences (AIIMS) και την Προεδρία της Βραζιλίας το 2022 με χρήση του ransomware CatB, καθώς και επιθέσεις σε κυβερνητική οντότητα στην Ανατολική Ασία και αεροπορικό οργανισμό στην ινδική υποήπειρο.
«Οι φορείς απειλών στον τομέα της κυβερνοκατασκοπείας εμπλέκονται σε μια ολοένα και πιο ανησυχητική τάση χρήσης ransomware ως τελικό στάδιο στις δραστηριότητές τους, για οικονομικούς σκοπούς, διακοπής, διάσπασης της προσοχής και καταστροφής ή αφαίρεσης αποδεικτικών στοιχείων», ανέφεραν οι ερευνητές ασφαλείας Aleksandar Milenkoski και Julian-Ferdinand Vögele.
Οι επιθέσεις ransomware σε αυτό το πλαίσιο όχι μόνο χρησιμεύουν ως μέσο δολιοφθοράς αλλά επιτρέπουν στους παράγοντες απειλών να καλύψουν τα ίχνη τους, καταστρέφοντας αντικείμενα που θα μπορούσαν να ειδοποιήσουν για την παρουσία τους.
Το ChamelGang, που τεκμηριώθηκε για πρώτη φορά από την Positive Technologies το 2021, θεωρείται ομάδα με σύνδεση στην Κίνα και διαφορετικά κίνητρα, όπως συλλογή πληροφοριών, κλοπή δεδομένων, οικονομικό όφελος, επιθέσεις άρνησης υπηρεσίας (DoS) και επιχειρήσεις πληροφοριών. Σύμφωνα με την Ταϊβανέζικη εταιρεία κυβερνοασφάλειας TeamT5, η οργάνωση διαθέτει ένα ευρύ φάσμα εργαλείων στο οπλοστάσιό της.
Δείτε επίσης: RansomHub ransomware: Νέα έκδοση στοχεύει VMware ESXi VMs
Αυτά περιλαμβάνουν τα BeaconLoader, Cobalt Strike, backdoors όπως τα AukDoor και DoorMe, καθώς και ένα στέλεχος ransomware γνωστό ως CatB. Το CatB έχει αναγνωριστεί ότι χρησιμοποιείται σε επιθέσεις που στοχεύουν τη Βραζιλία και την Ινδία, με κοινά χαρακτηριστικά στο σημείωμα των λύτρων, τη μορφή της διεύθυνσης email επικοινωνίας, τη διεύθυνση πορτοφολιού κρυπτονομίσματος και την επέκταση ονόματος αρχείου των κρυπτογραφημένων αρχείων.
Οι επιθέσεις που καταγράφηκαν το 2023 χρησιμοποίησαν μια ενημερωμένη έκδοση του BeaconLoader για την παράδοση του Cobalt Strike, προκειμένου να διεκπεραιώσουν δραστηριότητες αναγνώρισης και μετά την εκμετάλλευση, όπως η απόρριψη πρόσθετων εργαλείων και η εξαγωγή αρχείου βάσης δεδομένων NTDS.dit.
Επιπλέον, αξίζει να σημειωθεί ότι το προσαρμοσμένο κακόβουλο λογισμικό που χρησιμοποιείται από την ChamelGang, όπως το DoorMe και το MGDrive (με την παραλλαγή του για macOS γνωστή ως Gimmick), έχει επίσης συνδεθεί με άλλες κινεζικές ομάδες απειλών όπως το REF2924 και το Storm Cloud. Αυτό αναδεικνύει για άλλη μια φορά την πιθανότητα ύπαρξης ενός “ψηφιακού κατασκευαστή” που παρέχει κακόβουλο λογισμικό σε διάφορες επιχειρησιακές ομάδες.
Δείτε ακόμη: Η Neiman Marcus επιβεβαιώνει παραβίαση δεδομένων μετά την Snowflake
Ένα άλλο σύνολο hacking εισβολών περιλαμβάνει τη χρήση του Jetico BestCrypt και του Microsoft BitLocker σε κυβερνοεπιθέσεις που επηρεάζουν διάφορους κλάδους βιομηχανίας στη Βόρεια Αμερική, τη Νότια Αμερική και την Ευρώπη. Υπολογίζεται ότι έχουν στοχοποιηθεί έως και 37 οργανισμοί, κυρίως στον τομέα μεταποίησης των ΗΠΑ.
Οι τακτικές που παρατηρήθηκαν στο σύμπλεγμα, σύμφωνα με δύο εταιρείες κυβερνοασφάλειας, είναι σύμφωνες με αυτές που αποδίδονται σε ένα κινέζικο πλήρωμα hacking με το όνομα APT41 και έναν χάκερ της Βόρειας Κορέας γνωστό ως Andariel. Η παρουσία εργαλείων όπως το China Chopper web shell και ένα backdoor γνωστό ως DTrack ενισχύει αυτή τη σύνδεση.
Οι επιχειρήσεις κατασκοπείας στον κυβερνοχώρο, που παρουσιάζονται ως δραστηριότητες ransomware, επιτρέπουν σε αντίπαλες χώρες να αποποιηθούν την ευθύνη, αποδίδοντας τις ενέργειες σε ανεξάρτητους κυβερνοεγκληματίες και όχι στις κρατικές οντότητες», σημειώνουν οι ερευνητές.
Διαβάστε περισσότερα: Botnet εκμεταλλεύεται ευπάθεια σε Zyxel NAS συσκευές
«Η χρήση ransomware από ομάδες κυβερνοκατασκοπείας θολώνει τα όρια μεταξύ κυβερνοεγκλήματος και κυβερνοκατασκοπείας, προσφέροντας στους αντιπάλους πλεονεκτήματα τόσο από στρατηγική όσο και από επιχειρησιακή άποψη».
