Một chiến dịch ransomware mới nhắm mục tiêu vào các lĩnh vực vận tải và hậu cần ở Ukraine và Ba Lan vào ngày 11 tháng 10 với một trọng tải chưa được biết trước đó được lồng tiếng Uy tín.
Trung tâm Tình báo Đe dọa của Microsoft (MSTIC) cho biết: “Hoạt động này chia sẻ tình trạng nạn nhân với hoạt động liên kết với nhà nước gần đây của Nga, đặc biệt là về các quốc gia và khu vực địa lý bị ảnh hưởng, đồng thời trùng lặp với các nạn nhân trước đây của phần mềm độc hại FoxBlade (còn được gọi là HermeticWiper)”, Trung tâm Tình báo Đe dọa của Microsoft (MSTIC) cho biết.
Gã khổng lồ công nghệ nhận xét rằng các vụ xâm nhập xảy ra trong vòng một giờ đối với tất cả các nạn nhân, do sự lây nhiễm của một nhóm chưa được đặt tên có tên là DEV-0960. Nó không tiết lộ quy mô của các cuộc tấn công, nhưng tuyên bố rằng nó sẽ thông báo cho tất cả các khách hàng bị ảnh hưởng.
Chiến dịch này cũng được cho là khác biệt với các cuộc tấn công phá hoại khác gần đây có liên quan đến việc sử dụng HermeticWiper và CaddyWiper, phần sau được khởi chạy bởi một trình tải phần mềm độc hại có tên ArguePatch (hay còn gọi là AprilAxe).
Phương thức truy cập ban đầu vẫn chưa được xác định, Microsoft lưu ý rằng tác nhân đe dọa đã có được quyền truy cập đặc quyền vào môi trường bị xâm nhập để triển khai ransomware bằng ba phương pháp khác nhau.
Trong một diễn biến liên quan, Fortinet FortiGuard Labs đã kết thúc một chuỗi tấn công nhiều giai đoạn sử dụng tài liệu Microsoft Excel được vũ khí hóa, giả mạo như một bảng tính để tạo tiền lương cho các quân nhân Ukraine thả Cobalt Strike Beacon.
Redmond lưu ý: “Mối đe dọa ở Ukraine tiếp tục phát triển và cần gạt nước và các cuộc tấn công phá hoại là một chủ đề nhất quán. “Các cuộc tấn công ransomware và wiper dựa trên nhiều điểm yếu bảo mật giống nhau để thành công.”
Các phát hiện được đưa ra trong bối cảnh sự bùng nổ của các chủng ransomware tương đối mới đang thu hút được sức hút trên toàn cảnh mối đe dọa, bao gồm Bisamware, Chile Locker, Royal và Ransom Cartel, trong vài tháng qua.
Ransom Cartel, xuất hiện vào giữa tháng 12 năm 2021, cũng đáng chú ý vì chia sẻ sự chồng chéo kỹ thuật với phần mềm ransomware REvil, đã đóng cửa hàng vào tháng 10 năm 2021 sau khi thực thi pháp luật giám sát chặt chẽ hoạt động của mình sau một loạt các cuộc tấn công cấp cao vào JBS và Kaseya.
Người ta nghi ngờ rằng “các nhà khai thác Ransom Cartel đã truy cập vào các phiên bản trước đó của mã nguồn ransomware REvil”, Palo Alto Networks Unit 42 đã quan sát vào ngày 14 tháng 10, nói rằng “có mối quan hệ giữa các nhóm tại một số thời điểm, mặc dù nó có thể không phải là gần đây . “
REvil, vào đầu tháng Giêng này, đã phải chịu thêm thất bại khi chính quyền Nga bắt giữ nhiều thành viên, nhưng có dấu hiệu cho thấy băng nhóm tội phạm mạng khét tiếng có thể đã tổ chức trở lại dưới một số hình thức.
Công ty an ninh mạng Trellix, vào cuối tháng 9, cũng đã tiết lộ cách một “nguồn nội bộ bất mãn” từ nhóm chia sẻ chi tiết về Chiến thuật, Kỹ thuật và Thủ tục (TTP) của đối thủ, cho thấy một cái nhìn sâu sắc về “các mối quan hệ và hoạt động bên trong của REvil và các thành viên của nó. . “
Không chỉ REvil đã trở lại trên radar ransomware. HP Wolf Security tuần trước cho biết họ đã cô lập một chiến dịch Magniber đã bị phát hiện nhắm mục tiêu vào người dùng Windows gia đình bằng các bản cập nhật bảo mật giả mạo sử dụng tệp JavaScript để tăng sinh phần mềm độc hại mã hóa tệp.
“Những kẻ tấn công đã sử dụng các kỹ thuật thông minh để trốn tránh các cơ chế bảo vệ và phát hiện”, nhà phân tích phần mềm độc hại Patrick Schläpfer chỉ ra. “Hầu hết các chuỗi lây nhiễm là ‘không có bộ lọc', có nghĩa là phần mềm độc hại chỉ cư trú trong bộ nhớ, làm giảm khả năng bị phát hiện.”
