Securitate — August 24, 2022 at 1:34 pm

RedAlert si Monster: ransomware-ul pe platforme multiple câștigă teren

by

În conjuncție cu popularitatea în creștere a ransomware-ului pe mai multe platforme, Kaspersky a descoperit noi grupări de ransomware care au învățat să-și adapteze malware-ul la diferite sisteme de operare în același timp – și, prin urmare, provoacă daune mai multor organizații. Investigația recentă a experților Kaspersky a scos la iveală activitatea RedAlert și Monster – grupuri care au reușit să efectueze atacuri asupra diferitelor sisteme de operare fără a apela la limbaje-multiplatformă. În plus, experții au descris exploatările 1-day care pot fi executate de grupurile de ransomware pentru a-și atinge obiectivele financiare.

În 2022, cercetătorii de securitate Kaspersky au fost martori la utilizarea prolifică a facilităților multiplatformă de către grupurile de ransomware. În prezent, acestea urmăresc să atace cât mai multe sisteme posibile prin adaptarea codurilor lor malware la mai multe sisteme de operare în același timp. Kaspersky a descris deja astfel de grupuri care au folosit limbaje-multiplatform Rust sau Golang – de exemplu, Luna sau BlackCat. Cu toate acestea, acum grupările de ransomware raportate implementează programe malware care nu sunt scrise într-un limbaj-multiplatform, dar pot viza diferite sisteme de operare simultan.

Una dintre grupări, RedAlert, folosește programe malware scrise în C simplu – așa cum a fost detectat în eșantionul Linux. Cu toate acestea, malware-ul dezvoltat de RedAlert acceptă în mod explicit mediile ESXi. Mai mult, site-ul web RedAlert onion oferă un program de decriptare pentru descărcare – din păcate, nu există date suplimentare disponibile, cum ar fi dacă este scris în limbaj multiplatform sau nu. Un alt aspect care diferențiază RedAlert de alte grupuri de ransomware este că acceptă doar plăți în criptomoneda Monero, ceea ce face ca banii să fie mai greu de urmărit. Deși o astfel de abordare ar putea fi rezonabilă din punctul de vedere al infractorilor cibernetici, Monero nu este acceptat în fiecare țară și de fiecare centru de schimb valutar, astfel încât victimele s-ar putea confrunta cu o problemă în ceea ce privește plata răscumpărării.

Un alt grup de ransomware detectat în iulie 2022 este Monster, care aplică Delphi, un limbaj de programare de uz general pentru a-și scrie malware-ul care, totuși, se extinde pe diferite sisteme. Ceea ce face acest grup în mod deosebit este faptul că are o interfață grafică cu utilizatorul (GUI) – o componentă care nu a mai fost implementată niciodată de grupurile de ransomware. Mai mult, infractorii cibernetici au executat atacuri ransomware prin linia de comandă, într-un mod automat, în timpul unui atac țintit în desfășurare. Potrivit eșantionului extras de experții Kaspersky, autorii ransomware-ului Monster au inclus GUI ca parametru opțional pentru linia de comandă.

 

GUI folosit de Monster
GUI folosit de Monster

 

Monster a atacat utilizatorii din Singapore, Indonezia și Bolivia.

Raportul emis de Kaspersky acoperă și așa-numitele exploit-uri 1-day utilizate pentru a ataca Windows 7-11. Exploit-ul 1-day se referă, de obicei, la exploatarea unei vulnerabilități deja corectate și ridică întotdeauna o problemă privind politica de corecție în cadrul organizației afectate. Exemplul dat este despre vulnerabilitatea CVE-2022-24521 care permite unui atacator să obțină privilegii legate de sistem pe dispozitivul infectat. Atacatorii au avut nevoie de două săptămâni după ce vulnerabilitatea a fost dezvăluită, în aprilie 2022, pentru a dezvolta cele două exploit-uri. Deosebit de interesant la aceste exploit-uri este faptul că acceptă o varietate de versiuni Windows. Acest lucru indică de obicei că atacatorii vizează organizații comerciale. De asemenea, ambele exploit-uri partajează multe mesaje de depanare. Un caz detectat include atacuri asupra unui lanț de retail din regiunea APAC – cu toate acestea, nu există date suplimentare despre ceea ce încercau infractorii cibernetici să obțină.

Pentru a afla mai multe despre grupurile de ransomware RedAlert și Monster, precum și despre exploatările de tip 1-day, raportul complet este disponibil pe Securelist.

Pentru a vă proteja pe dumneavoastră și afacerea dumnevoastră de atacurile ransomware, luați în considerare respectarea regulilor propuse de Kaspersky:
• Nu expuneți serviciile desktop la distanță (cum ar fi RDP) rețelelor publice decât dacă este absolut necesar și utilizați întotdeauna parole puternice pentru ele.
• Instalați prompt patch-urile disponibile pentru soluțiile VPN comerciale care oferă acces pentru angajații care lucrează de la distanță și acționează ca gateway-uri în rețeaua dumneavoastră.
• Păstrați întotdeauna software-ul actualizat pe toate dispozitivele pe care le utilizați pentru a preveni exploatarea vulnerabilităților prin ransomware
• Concentrați-vă strategia de apărare pe detectarea mișcărilor laterale și a scurgerilor de date către Internet. Acordați o atenție deosebită traficului de ieșire pentru a detecta conexiunile infractorilor cibernetici.
• Faceți o copie de rezervă a datelor în mod regulat. Asigurați-vă că le puteți accesa rapid în caz de urgență.
• Utilizați soluții precum Kaspersky Endpoint Detection and Response Expert și Kaspersky Managed Detection and Response care ajută la identificarea și oprirea atacului în stadii incipiente, înainte ca atacatorii să-și atingă obiectivele finale.
• Pentru a vă proteja în mediul corporativ, educați-vă angajații. Cursurile de training dedicate pot ajuta, cum ar fi cele oferite în Kaspersky Automated Security Awareness Platform.
• Utilizați o soluție de securitate fiabilă, cum ar fi Kaspersky Endpoint Security for Business, care se bazează pe prevenirea exploatărilor, detectarea comportamentului și un motor de remediere care poate anula acțiunile rău intenționate. KESB are, de asemenea, mecanisme de autoapărare care pot împiedica eliminarea sa de către infractorii cibernetici.
• Utilizați cele mai recente informații despre Threat Intelligence pentru a fi la curent cu TTP-urile reale utilizate de actorii amenințărilor. Portalul

Kaspersky Threat Intelligence este un singur punct de acces pentru Kaspersky TI, oferind date și informații despre atacurile cibernetice adunate de echipa noastră, timp de 25 de ani. Pentru a ajuta companiile să activeze un plan eficient de apărare în aceste vremuri tulburi, Kaspersky a anunțat accesul gratuit la informații independente, actualizate continuu și provenite din surse globale despre atacurile și amenințările cibernetice în desfășurare. Solicitați acces la această ofertă aici.