SecurityWorldMarket

2021-05-09

"Rysk underrättelsetjänst bakom ransomware-attacker"

Truesec har bevakat aktiviteterna hos ryska ransomware-ligor och rysk underrättelseverksamhet.

Mycket talar för att den ryska staten står bakom flera sofistikerade ransomware-attacker. Det menar Truesec.

Truesec har bevakat aktiviteterna hos ryska ransomware-ligor och rysk underrättelseverksamhet och menar att mycket talar för att ryska staten står bakom cyberattackerna.

I oktober 2020 genomfördes en ransomware attack mot ett stort företag. Den initiala attackvektorn var en så kallad drive-by-download: en legitim webbsida som hackats så att besökare på webbsidan uppmanades att uppdatera sin webbläsare genom att ladda ner en zip-fil med skadlig kod.

Angriparen påbörjade manuellt arbete inom några minuter efter att den skadliga koden aktiverats, vilket tyder på att man haft kontinuerlig bevakning av kontrollservern, eftersom man inte kunde veta när offret skulle besöka den infekterade webbsidan, menar Truesec.

Efter bara några timmar hade angriparen skaffat sig administratörsrättigheter, tagit över nätverket och placerat ut Cobalt Strike på flera platser i systemet. Därefter avtog verksamheten. I nästan fyra veckor gjorde angriparen inget utom att metodiskt rekognoscera nätverket. De sista två veckorna koncentrerades arbetet till att systematiskt kartlägga nätverksresurser för backup och erhålla rättigheter för att kunna förstöra dem.

Till sist placerade aktören ut ett ransomware, Wasted Locker, på alla system via WMI kommandon och PsExec.  Hela attacken var mycket sofistikerad och professionellt genomförd, anser Truesec.

I april 2021, ett halvår efter attacken, fick det drabbade företaget sedan ett meddelande från en nationell cyberförvarsorganisation. I meddelandet varnades företaget för att deras nätverk kunde ha komprometterats av en cyberspionagegrupp som kallades SilverFish, och hänvisades till en rapport som publicerats av cybersäkerhetsföretaget Prodaft.

Truesec kunde tillsammans med kunden konstatera att det angrepp som hänvisades till i rapporten var samma angrepp som Truesec redan undersökt, och som ledde till ransomware-angreppet med Wasted Locker.

Truesecs Threat Intelligence kunde konstatera att det med stor sannolikhet var samma aktör som genomfört ransomware-attacken i oktober, som även genomfört den cyberspionagekampanj som beskrivs i Prodafts rapport.

Den stora frågan är nu enligt Truesec att försöka avgöra om angreppet genomförts av en cyberbrottsgrupp som även ägnade sig åt spionage, eller om det var en rysk underrättelsetjänst som också ägnade sig åt ransomwareattacker.

Enligt flera källor så är aktören bakom Wasted Locker en ökänd rysk cyberbrottsgrupp som kallar sig själva ”Evil Corp”.

 ”Vi kan inte säkert avgöra om aktören verkligen är just ”Evil Corp” eller om det är någon annan rysk aktör som kombinerar ransomware-attacker med spioneri. Mycket talar dock för att det rör sig om en grupp som utför spioneri åt den ryska staten och som finansierar denna aktivitet med ransomware-attacker”, skriver Truesec.


Leverantörer
Till toppen av sidan