Penggodam menggunakan MBR-ONI Ransomware sebagai pengelap yang disasarkan

Computer Security News

ONI ransomware dijumpai di Jepun, awal tahun ini. Menurut penyelidik Keselamatan, ancaman merupakan satu sub spesies GlobeImposter ransomware, yang mana “Apabila ia menjangkit, ia menyulitkan fail, .oni lanjutan untuk nama fail, pemegang serah hak dan meminta bayaran untuk menyah enkripsi itu”

Pakar-pakar dari Cybereason mendakwa bahawa ONI adalah ransomware ditolak, dan lebih banyak “yang pengelap untuk menutup operasi hacking terperinci.”

Dalam laporan terbaru mereka, para penyelidik telah terikat penggunaan ONI kepada serangan canggih industri Jepun. Pencerobohan yang berlangsung selama tiga hingga sembilan bulan, dan hanya kemuncak penggunaan ransomware. Ancaman ini, pada hakikatnya, digunakan untuk menyembunyikan tujuan dan kesan hack.

Penyiasatan Cybereason mendedahkan ransomware baru bootkit, dipanggil MBR-ONI, yang mengubahsuai MBR itu dan menyulitkan petak cakera.

“Kita membuat kesimpulan bahawa kedua-dua ONI dan MBR-ONI berpunca daripada pelakon ancaman sama sejak ia digunakan bersama-sama di sama sasaran serangan dan Nota tebusan mereka mengandungi alamat e-mel yang sama,” keadaan pakar.

Nama ONI berasal dari sambungan fail fail tersulit: ‘.oni’ yang bermaksud ‘syaitan’ dalam Bahasa Jepun. Istilah ini juga muncul dalam alamat e-mel kenalan yang digunakan dalam Nota tebusan: “Oninoy0ru” yang boleh diterjemahkan sebagai Jepun untuk ‘Malam syaitan’.

Semasa menganalisis kejadian serangan, Cybereason perasan satu modus operandi. Ia bermula dengan serangan tombak-pemalsuan yang berjaya yang membawa kepada pengenalan Ammyy Admin tikus, diikuti oleh tempoh kelayakan dan peninjau mencuri dan gerakan sisian “menjejaskan akhirnya aset kritikal, termasuk (pengawal domain DC), untuk mendapatkan kawalan penuh ke atas rangkaian.”

Peringkat akhir serangan adalah penggunaan log pengelap cermin dan ONI diedar menerusi polisi Kumpulan penyangak (GPO), dalam apa Cybereason yang menggambarkan sebagai ‘polisi scorched bumi’. GPO telah Salin skrip kelompok daripada pelayan DC, menyapu bersih log peristiwa Windows’ untuk melindungi para penyerang trek dan mengelakkan pengesanan berasaskan log.

Fail kelompok digunakan arahan wevtutil bersama-sama dengan bendera “cl”, penjelasan peristiwa-peristiwa dari log peristiwa tertentu lebih daripada 460. ONI juga akan disalin daripada DC dan dilaksanakan, menyulitkan pelbagai fail-fail yang besar.

MBR-ONI ransomware digunakan lebih menyempitkannya berbanding hanya segelintir yang endpoints. Ini adalah aset kritikal seperti pelayan AD dan pelayan fail. Walaupun fakta bahawa ONI mahupun MBR-ONI teknikal boleh dimampat (dan akibatnya akan diklasifikasikan sebagai ransomware dan bukannya pengelap cermin), “Kita mengesyaki,” pakar-pakar berkata, “bahawa MBR-ONI digunakan sebagai pengelap untuk menyembunyikan motif sebenar operasi ini.”

Penyelidik juga mengesyaki bahawa EternalBlue telah digunakan dengan alat-alat lain untuk merebak melalui rangkaian. Walaupun pada hakikatnya bahawa menyapu log dan rasuah data yang disebabkan oleh serangan menjadikan ini sukar untuk disahkan, ia telah dicatat EternalBlue patch telah tidak dipasang pada mesin terjejas, dan SMBv1 yang terdedah masih didayakan.

ONI ransomware berkongsi kod dengan GlobeImposter, dan menunjukkan kesan Bahasa Rusia. “Manakala jenis bukti yang ini boleh telah meninggalkan tiada sengaja oleh penyerang sebagai decoy,” Negeri pakar, “ia boleh juga mencadangkan bahawa serangan telah dilaksanakan oleh penceramah Rusia atau tidaknya, bahawa ransomware yang telah dikarang oleh Russia speaker.”

MBR-ONI ransomware menggunakan mesej tebusan dan ID yang sama untuk semua mesin yang dijangkiti. Versi DiskCryptor sumber-terbuka alat digunakan penyulitan dalam. Walaupun ini boleh menjadi arca jika penyerang yang membekalkan kekunci yang betul, “kita mengesyaki bahawa penyerang itu tidak pernah bertujuan untuk memberi pemulihan bagi Mesin dienkripsi. Sebaliknya, program ini bertujuan untuk digunakan sebagai pengelap yang meliputi jejak kaki penyerang dan menyembunyikan motif serangan itu.”

Menurut pakar-pakar, ia tidak mungkin bahawa keuntungan kewangan adalah sesuatu hanya untuk ONI dalam serangan di Jepun. Penyelidik juga ambil perhatian bahawa terdapat peningkatan laporan ransomware digunakan sebagai pengelap yang oleh kedua-dua cybercriminals dan negara negara-negara di bahagian-bahagian lain di dunia.


Leave a Reply

Your email address will not be published. Required fields are marked *