Hakerzy wykorzystują MBR-ONI Ransomware jako ukierunkowane wycieraczek

Computer Security News

ONI ransomware został znaleziony w Japonii, na początku tego roku. Według naukowców bezpieczeństwa, zagrożenie to podgatunek GlobeImposter szkodnika, które “Go go, zarażając szyfruje plik, przypisuje .oni rozszerzenie do nazwy pliku i prosi o płatności do odszyfrowania it.”

Eksperci z Cybereason twierdzą, że ONI jest mniej ransomware i więcej “Wycieraczki zatuszować operację hacking opracowania.”

W ich najnowszy raport naukowcy związali użycie ONI na wyrafinowane ataki na japoński przemysł. Najazdy trwała od trzech do dziewięciu miesięcy, a tylko zakończył w użyciu ransomware. Zagrożenie w efekcie użyto do ukrycia celem i efektem Hack.

Cybereason dochodzenie ujawniło nowy bootkit ransomware, o nazwie MBR-ONI, która modyfikuje MBR i szyfruje partycji dysku.

“Doszliśmy do wniosku, że zarówno ONI, jak i MBR-ONI wynikają z samej aktora zagrożenie ponieważ były one używane w połączeniu w to samo przypadków ataków i ich okupu zawiera ten sam adres e-mail,” stan ekspertów.

Nazwa ONI pochodzi z rozszerzenia plików zaszyfrowanych plików: .oni, co oznacza ‘diabeł’ w języku japońskim. Termin pojawia się również w adres kontaktowy adres e-mail używany w okupu notatki: “Oninoy0ru”, co można przetłumaczyć jako japoński ‘Noc diabeł’.

Podczas analizowania wystąpień ataku, Cybereason zauważyłem modus operandi. Zaczęło się udane ataki typu spear phishing, które doprowadziły do wprowadzenia Ammyy Admin szczur, następuje okres Rekonesans i poświadczeń kradzieży i ruch poprzeczny “ostatecznie utraty krytycznych zasobów, w tym kontroler domeny) DC), aby uzyskać pełną kontrolę nad siecią.”

Końcowej fazie ataku jest korzystanie z dziennika wycieraczki i ONI rozdzielił przez nieuczciwych zasad grupy (GPO), w co Cybereason opisuje jako “Polityka spalonej ziemi”. Obiekt zasad grupy będzie skopiować skrypt wsadowy z serwera DC, wycierając czystą dzienniki zdarzeń systemu Windows na pokrycie ich utworów i uniknąć wykrycia na podstawie dziennika.

Plik wsadowy używany polecenia wevtutil wraz z flagą “cl”, usuwanie wydarzeń z ponad 460 określonych dzienników zdarzeń. ONI również będzie skopiowany z DC i wykonywane, szyfrowania dużej tablicy plików.

MBR-ONI ransomware stosuje się bardziej oszczędnie przeciwko znajduje się kilka punktów końcowych. Były to krytycznych zasobów, takich jak AD server i serwery plików. Pomimo faktu, że zarówno ONI, jak i MBR-ONI technicznie udało się odszyfrować (i w związku z tym mogą być klasyfikowane jako szkodnika, a nie wycieraczki), “Podejrzewamy,” eksperci twierdzą, “że MBR-ONI był używany jako wycieraczek, aby ukryć prawdziwy motyw operacji.”

Naukowcy również podejrzewać, że EternalBlue został użyty z innymi narzędziami do rozprzestrzeniać się za pośrednictwem sieci. Pomimo faktu, że czyszczenie dziennika i uszkodzenie danych spowodowane przez ataki sprawia, że trudno być potwierdzone zauważono patcha EternalBlue nie były zainstalowane na maszynach złamany, a narażone SMBv1 nadal była włączona.

ONI ransomware udostępnia kodu z GlobeImposter i nosi ślady języka rosyjskiego. “Podczas gdy tego typu dowodów może pozostały tam celowo przez napastników jako maniak,” Państwa ekspertów, “można również sugerują, że ataki były przeprowadzane przez rosyjski głośniki, lub przynajmniej, że ransomware został napisany przez Rosyjski głośników.”

MBR-ONI ransomware u¿ywa ten sam komunikat okupu i identyfikator dla wszystkich zainfekowanych komputerów. Zmodyfikowana wersja open-source narzędzie DiskCryptor był używany do szyfrowania. Chociaż może to być odszyfrowane, jeśli napastnicy dostarcza prawego klawisza, “podejrzewamy, że napastnicy nigdy nie zamierzała przewiduje odzyskiwania zaszyfrowanych maszyny. Zamiast tego, program miał służyć jako wycieraczki na pokrycie ślady napastników i ukryć motywem ataku.”

Zdaniem ekspertów jest mało prawdopodobne, że zysk finansowy jest jedynym motywem, bo to ONI ataki w Japonii. Naukowcy zauważyli również, że są coraz częstsze doniesienia ransomware wykorzystywane jako wycieraczki przez cyberprzestępców i państw narodowych w innych częściach świata.


Leave a Reply

Your email address will not be published. Required fields are marked *