Dridex Malware die Entropy Ransomware implementeert op gehackte computers

software malicioso Dridex Nachrichten

Er zijn overeenkomsten gevonden tussen de Dridex malware voor algemene doeleinden en een weinig bekende ransomware-stam genaamd Entropiewat suggereert dat de operators hun afpersingsactiviteiten onder een andere naam blijven hernoemen.

“De overeenkomsten zitten in de softwarepacker die wordt gebruikt om de ransomware-code te verbergen, in de malware-subroutines die zijn ontworpen om commando’s (API-aanroepen) te vinden en te verdoezelen), en in de subroutines die worden gebruikt om versleutelde tekst te ontsleutelen”, aldus cyberbeveiligingsbedrijf Sophos. zei in een rapport gedeeld met The Hacker News.

De overeenkomsten werden ontdekt na twee niet-gerelateerde incidenten gericht op een niet nader genoemd mediabedrijf en een regionale overheidsinstantie. In beide gevallen werd de inzet van Entropy voorafgegaan door het infecteren van de doelnetwerken met Cobalt Strike Beacons en Dridex, waardoor de aanvallers op afstand toegang kregen.

Ondanks consistentie in sommige aspecten van de dubbele aanvallen, verschilden ze ook aanzienlijk met betrekking tot de initiële toegangsvector die werd gebruikt om zich een weg te banen binnen de netwerken, de tijdsduur die in elk van de omgevingen werd doorgebracht en de malware die werd gebruikt om de laatste fase te starten van de invasie.

De aanval op de mediaorganisatie maakte gebruik van de ProxyShell-exploit om een ​​kwetsbare Exchange Server aan te vallen met als doel een webshell te installeren die op zijn beurt werd gebruikt om Cobalt Strike Beacons op het netwerk te verspreiden. De tegenstander zou vier maanden hebben besteed aan het uitvoeren van verkenningen en gegevensdiefstal, wat uiteindelijk de weg vrijmaakte voor de ransomware-aanval begin december 2021.

De tweede aanval op de regionale overheidsorganisatie werd daarentegen vergemakkelijkt door een kwaadaardige e-mailbijlage met de Dridex-malware, die deze gebruikte om extra payloads in te zetten voor zijwaartse verplaatsing.

Met name redundante exfiltratie van gevoelige gegevens naar meer dan één cloudopslagprovider – in de vorm van gecomprimeerde RAR-archieven – vond plaats binnen 75 uur na de eerste detectie van een verdachte inlogpoging op een enkele machine, voordat de bestanden op de besmette computers werden versleuteld .

Entropie Ransomware
Entropy Ransomware Opmerking

Naast het gebruik van legitieme tools zoals: AdFind, PsExecen PsKill om de aanvallen uit te voeren, heeft de correlatie tussen Dridex- en Entropy-samples met die van eerdere DoppelPaymer-ransomware-infecties de mogelijkheid van een “gemeenschappelijke oorsprong” vergroot.

Het is de moeite waard om te wijzen op het web van verbindingen tussen de verschillende stukjes malware. De Dridex trojan, een informatie-stelend botnet, staat bekend als het werk van een productieve in Rusland gevestigde cybercriminaliteitsgroep genaamd Indrik Spider (ook bekend als Evil Corp).

DoppelPaymer wordt toegeschreven aan a splintergroep gevolgd onder de naam Doppel Spider, die hefboomwerking gevorkte malwarecode ontwikkeld door Indrik Spider, inclusief de BitPaymer-ransomware, als de basis voor zijn jachtactiviteiten op groot wild.

Dridex-malware

In december 2019 heeft het Amerikaanse ministerie van Financiën Evil Corp gesanctioneerd en strafrechtelijke aanklachten ingediend tegen twee belangrijke leden Maksim Yakubets en Igor Turashev, naast de aankondiging van een beloning van $ 5 miljoen voor alle informatie die tot hun arrestaties heeft geleid. EEN daaropvolgend onderzoek door BBC in november 2021 de “vermeende hackers met een miljonairslevensstijl opgespoord, met weinig kans om ooit gearresteerd te worden”.

De e-crime-bende heeft sindsdien in de tussenliggende jaren talloze merkwijzigingen in hun ransomware-infrastructuur doorgevoerd om de sancties te omzeilen, waarvan de belangrijkste zijn WastedLockerHades, Feniks, LaadvermogenBIN, Rouwen Ara. Entropy is waarschijnlijk de nieuwste toevoeging aan deze lijst.

Dat gezegd hebbende, is het ook mogelijk dat de malware-operators de code hebben geleend, ofwel om ontwikkelingsinspanningen te redden of om opzettelijk de toeschrijving te misleiden in wat een false flag-operatie is.

De bevindingen tonen aan dat de Evil Corp-cluster ondanks de sancties hun handelskunst blijft ontwikkelen, en voortdurend hun payload-handtekeningen, exploitatietools en methoden voor initiële toegang bijwerkt om toewijzing te verwarren en onder de radar te blijven.

Inderdaad, onderzoekers van SentinelOne, in een zelfstandige analysenoemde de “evolutionaire” links, daarbij verwijzend naar bijna identieke configuratie, implementatie en functionaliteit tussen opeenvolgende varianten van de ransomware, waarbij de bestandsversleutelende malware verborgen werd met behulp van een packer genaamd CryptOne.

“In beide gevallen vertrouwden de aanvallers op een gebrek aan zorgvuldigheid – beide doelen hadden kwetsbare Windows-systemen zonder de huidige patches en updates”, zegt Andrew Brandt, hoofdonderzoeker bij Sophos. “Goed gepatchte machines, zoals de Exchange Server, zouden de aanvallers hebben gedwongen harder te werken om hun eerste toegang te krijgen tot de organisaties die ze binnendrongen.”

“Een vereiste om multi-factor-authenticatie te gebruiken, zou, als deze aanwezig was geweest, verdere uitdagingen hebben gecreëerd voor ongeautoriseerde gebruikers om in te loggen op die of andere machines”, voegde Brandt eraan toe.

David
Rate author
Hackarizona