De innerlijke werking van een cybercriminele groep die bekend staat als de Wizard Spider is blootgelegd, wat licht werpt op de organisatiestructuur en motivaties.
“De meeste inspanningen van Wizard Spider zijn gericht op het hacken van Europese en Amerikaanse bedrijven, met een speciale kraaktool die door sommige van hun aanvallers wordt gebruikt om waardevolle doelen te doorbreken”, aldus het Zwitserse cyberbeveiligingsbedrijf PRODAFT. zei in een nieuw rapport gedeeld met The Hacker News. “Een deel van het geld dat ze krijgen, wordt terug in het project gestopt om nieuwe tools en talent te ontwikkelen.”
Wizard Spider, ook bekend als Gold Blackburn, zou vanuit Rusland opereren en verwijst naar een financieel gemotiveerde dreigingsactor die is gekoppeld aan het TrickBot-botnet, een modulaire malware die eerder dit jaar officieel werd stopgezet ten gunste van verbeterde malware zoals BazarBackdoor .
Dat is niet alles. De TrickBot-operators hebben ook uitgebreid samengewerkt met Conti, een andere aan Rusland gelieerde cybercriminaliteitsgroep die berucht is vanwege het aanbieden van ransomware-as-a-service-pakketten aan zijn gelieerde ondernemingen.
Gold Ulrick (ook bekend als Grim Spider), zoals de groep die verantwoordelijk is voor de distributie van de Conti (voorheen Ryuk) ransomware wordt genoemd, heeft in het verleden de initiële toegang van TrickBot gebruikt om de ransomware in te zetten tegen gerichte netwerken.
“Gold Ulrick bestaat uit enkele of alle dezelfde operators als Gold Blackburn, de dreigingsgroep die verantwoordelijk is voor de verspreiding van malware zoals TrickBot, BazarLoader en Beur Loader”, cyberbeveiligingsbedrijf Secureworks notities in een profiel van het cybercriminelensyndicaat.
PRODAFT verklaarde dat de groep “in staat is om geld te verdienen met meerdere aspecten van zijn activiteiten”, benadrukte PRODAFT het vermogen van de tegenstander om zijn criminele onderneming uit te breiden, wat volgens hem mogelijk wordt gemaakt door de “buitengewone winstgevendheid van de bende”.
Typische aanvalsketens waarbij de groep betrokken is, beginnen met spamcampagnes die malware verspreiden, zoals Qakbot (ook bekend als QBot) en SystemBC, en ze gebruiken als lanceerplatforms om extra tools te droppen, waaronder Cobalt Strike voor zijwaartse beweging, voordat de lockersoftware wordt uitgevoerd.
Naast het gebruik van een schat aan hulpprogramma’s voor diefstal van referenties en verkenning, is het bekend dat Wizard Spider een exploitatietoolkit gebruikt die gebruikmaakt van recent onthulde kwetsbaarheden zoals Log4Shell om een eerste voet aan de grond te krijgen in slachtoffernetwerken.
Geef gebruikers ook een kraakstation dat gekraakte hashes host die zijn gekoppeld aan onder meer domeinreferenties, Kerberos-tickets en KeePass-bestanden.
Bovendien heeft de groep geïnvesteerd in een aangepaste VoIP-configuratie waarbij ingehuurde telefoonoperators niet-reagerende slachtoffers ongevraagd opbellen om extra druk uit te oefenen en hen te dwingen te betalen na een ransomware-aanval.
Het is niet de eerste keer dat de groep zijn toevlucht neemt tot een dergelijke tactiek. Vorig jaar publiceerde Microsoft een BazarLoader-campagne genaamd BazaCall, die valse callcenters gebruikte om nietsvermoedende slachtoffers te verleiden ransomware op hun systemen te installeren.
“De groep heeft enorme aantallen gecompromitteerde apparaten tot haar beschikking en gebruikt een sterk gedistribueerde professionele workflow om de veiligheid en een hoog operationeel tempo te handhaven”, aldus de onderzoekers.
“Het is verantwoordelijk voor een enorme hoeveelheid spam op honderden miljoenen miljoenen apparaten, evenals voor geconcentreerde datalekken en ransomware-aanvallen op hoogwaardige doelen.”
