Cyber kriminalci ciljanju na hibridne cloud platforme s novim sojem ransomwarea
Prema otkriću istraživača sigurnosti iz Microsofta, cyber kriminalci su počeli ciljati hibridne cloud platforme korištenjem zabrinjavajućeg novog soja ransomwarea. U novom blog postu, stručnjaci za prijetnje upozoravaju na grupu Storm-0501, koja je aktivna od 2021. godine, a koja se fokusira na različite sektore diljem Sjedinjenih Američkih Država.
Koji su ciljevi grupe Storm-0501?
Grupa Storm-0501 usmjerava svoje napade na različite industrijske grane, uključujući:
- Vladine institucije
- Proizvodnju
- Transport
- Pravosudne organe
Microsoftovi istraživači smatraju da je motivacija grupe financijska, što znači da ne djeluju u korist državnih tijela. Njihov glavni cilj je iznuditi novac od tvrtki kako bi financirali daljnje cyber kriminalne aktivnosti.
Kako Storm-0501 izvršava svoje napade?
Kada napada, Storm-0501 traži loše zaštićene i pretjerano privilegirane račune. Nakon što kompromitiraju svoje mete, koriste te račune za pristup lokalnim uređajima, a zatim i cloud okruženjima. Sljedeći koraci uključuju uspostavljanje trajne prisutnosti unutar infrastrukture i omogućavanje neometanog lateralnog kretanja. Posljednji korak je uvođenje ransomwarea.
Korišteni sojevi ransomwarea
U prošlosti, Storm-0501 je koristio popularne varijante ransomwarea kao što su Hive, BlackCat (ALPHV), Hunters International i LockBit. Međutim, u nedavnim napadima, grupa je koristila novi soj ransomwarea pod nazivom Embargo. Embargo je relativno nov, razvijen u programskom jeziku Rust, i koristi napredne metode enkripcije. Također, djeluje prema RaaS (Ransomware as a Service) modelu, što znači da netko drugi razvija i održava enkripcijski alat, a zatim dobiva udio od plijena.
Taktike dvostruke iznude
Korištenjem Embarga, Storm-0501 primjenjuje staru i provjerenu taktiku dvostruke iznude. Najprije kradu datoteke žrtve, zatim šifriraju ostatak i prijete da će ih objaviti online ako žrtva ne plati otkup.
Tehnike zaraženih računa
U slučajevima koje je Microsoft analizirao, Storm-0501 je iskoristio kompromitirane račune admina domena i implementirao Embargo putem zakazanih zadataka. Nazivi binarnih datoteka ransomwarea koji su korišteni uključuju PostalScanImporter.exe i win.exe. Ekstenzije šifriranih datoteka su bile .partial, .564ba1, i .embargo. Također, valja napomenuti da ponekad Storm-0501 ne pokreće enkripcijski alat, već samo održava pristup mreži.
Zaključak
Kako cyber prijetnje postaju sve složenije, važno je ostati informiran i pripremljen. Praćenjem novih trendova i cyber sigurnosnih prijetnji, organizacije mogu zaštititi svoje podatke i infrastrukturu.
