Κινέζοι κυβερνοκατάσκοποι, γνωστοί ως ChamelGang, χρησιμοποιούν επιθέσεις Ransomware ως τακτική, για να αποφύγουν την ανίχνευση, να αποσπάσουν την προσοχή των ερευνητών ασφαλείας ή για οικονομική ανταμοιβή, ως δευτερεύοντα στόχο της κλοπής δεδομένων.
Δείτε επίσης: Το NHLS της Νότιας Αφρικής χτυπήθηκε από επίθεση ransomware
Μια κοινή έκθεση από τους αναλυτές των SentinelLabs και Recorded Future παρουσιάζει την περίπτωση του ChamelGang, μιας ύποπτης κινεζικής προηγμένης ομάδς κυβερνοκατασκόπων, που χρησιμοποιεί το στέλεχος ransomware CatB σε επιθέσεις που επηρεάζουν οργανισμούς υψηλού προφίλ σε όλο τον κόσμο.
Ένα ξεχωριστό σύμπλεγμα δραστηριοτήτων χρησιμοποιεί το BestCrypt και το Microsoft BitLocker για την επίτευξη παρόμοιων στόχων, αν και η απόδοση δεν είναι σαφής.
Στόχευση της ChamelGang
Η ομάδα ChamelGang είναι επίσης γνωστή ως CamoFei και έχει στοχεύσει κυβερνητικούς οργανισμούς και οντότητες υποδομής ζωτικής σημασίας μεταξύ 2021 και 2023.
Η ομάδα χρησιμοποιεί εξελιγμένες τεχνικές για να αποκτήσει αρχική πρόσβαση, για αναγνώριση και πλευρική κίνηση και για να εξάγει ευαίσθητα δεδομένα.
Δείτε ακόμα: Hackers στοχεύουν παγκόσμιες υποδομές με ransomware επιθέσεις
Σε μια επίθεση τον Νοέμβριο του 2022, οι κακόβουλοι παράγοντες στόχευσαν την Προεδρία της Βραζιλίας και παραβίασαν 192 υπολογιστές. Η ομάδα βασίστηκε σε τυπικά εργαλεία αναγνώρισης για τη χαρτογράφηση του δικτύου και τη συλλογή πληροφοριών για κρίσιμα συστήματα.
Στο τελευταίο στάδιο της επίθεσης, η ChamelGang ανέπτυξε το CatB ransomware στο δίκτυο, ρίχνοντας σημειώματα λύτρων στην αρχή κάθε κρυπτογραφημένου αρχείου. Έδωσαν μια διεύθυνση ProtonMail για επικοινωνία και μια διεύθυνση Bitcoin για πληρωμή.
Η επίθεση αρχικά αποδόθηκε στην TeslaCrypt, αλλά οι SentinelLabs και Recorded Future παρουσιάζουν νέα στοιχεία που καταδεικνύουν την ChamelGang.
Κατά τη διάρκεια ενός άλλου περιστατικού στα τέλη του 2022, η ChamelGang παραβίασε το πανεπιστήμιο και το νοσοκομείο της Ιατρικής Έρευνας στο Ινστιτούτο Ιατρικών Επιστημών (AIMS). Η ομάδα κυβερνοκατασκοπείας χρησιμοποίησε για άλλη μια φορά το ransomware CatB, προκαλώντας μεγάλες διακοπές στις υπηρεσίες υγειονομικής περίθαλψης.
Οι ερευνητές πιστεύουν ότι δύο άλλες επιθέσεις, εναντίον μιας κυβερνητικής οντότητας στην Ανατολική Ασία και ενός αεροπορικού οργανισμού στην ινδική υποήπειρο είναι επίσης έργο της ChamelGang, βασισμένες στη χρήση γνωστών TTP, δημοσίως διαθέσιμων εργαλείων που παρατηρήθηκαν σε προηγούμενες δεσμεύσεις και στο προσαρμοσμένο κακόβουλο λογισμικό τους, BeaconLoader.
Δείτε επίσης: Το κέντρο δεδομένων της κυβέρνησης της Ινδονησίας θύμα ransomware
Το ransomware, που χρησιμοποιείται στις επιθέσεις της ομάδας ChamelGang, είναι ένας τύπος κακόβουλου λογισμικού που απειλεί να δημοσιεύσει τα δεδομένα του θύματος ή να αποκλείσει την πρόσβαση σε αυτά, εκτός εάν καταβληθούν λύτρα. Αυτές οι επιθέσεις συχνά εξαπλώνονται μέσω phishing email, κακόβουλων διαφημίσεων σε ιστότοπους ή μέσω εκμετάλλευσης τρωτών σημείων στο λογισμικό. Μόλις εγκατασταθεί το ransomware, κρυπτογραφεί τα αρχεία του θύματος, καθιστώντας τα απρόσιτα χωρίς ένα κλειδί αποκρυπτογράφησης, το οποίο οι εισβολείς υπόσχονται να παρέχουν μόλις λάβουν τα λύτρα. Οι επιπτώσεις μιας επίθεσης ransomware μπορεί να είναι καταστροφικές, οδηγώντας σε σημαντικές οικονομικές απώλειες, σε κίνδυνο της ασφάλειας δεδομένων και διαταραχές των επιχειρηματικών λειτουργιών. Είναι ζωτικής σημασίας για τα άτομα και τους οργανισμούς να υιοθετήσουν ισχυρά μέτρα κυβερνοασφάλειας, όπως τακτικά αντίγραφα ασφαλείας, ενημερωμένο λογισμικό και εκπαίδευση εργαζομένων, για τον μετριασμό τέτοιων επιθέσεων.
Πηγή: bleepingcomputer
