Hacker sử dụng MBR-ONI Ransomware là nhắm mục tiêu gạt nước

Computer Security News

ONI ransomware đã được tìm thấy ở Nhật bản, đầu năm nay. Theo các nhà nghiên cứu bảo mật, các mối đe dọa là một loài phụ của GlobeImposter ransomware đó, “Khi nó lây nhiễm, nó mã hóa các tập tin, gán .oni mở rộng để tên tập tin, và yêu cầu thanh toán để giải mã nó”

Các chuyên gia từ Cybereason cho rằng ONI là ransomware ít hơn, và nhiều hơn “khăn lau để bao che cho hoạt động xây dựng của hacking.”

Trong báo cáo mới nhất của họ, các nhà nghiên cứu đã gắn với việc sử dụng của ONI cho tinh vi tấn công vào các ngành công nghiệp Nhật bản. Sự xâm nhập kéo dài giữa ba và chín tháng, và chỉ lên đến đỉnh điểm trong việc sử dụng ransomware. Các mối đe dọa đã, có hiệu lực, được sử dụng để ẩn các mục đích và tác dụng của hack.

Cybereason điều tra tiết lộ một ransomware bootkit mới, được gọi là MBR-ONI, đổi MBR và mã hóa các phân vùng đĩa.

“Chúng tôi kết luận rằng ONI và MBR-ONI xuất phát từ cùng một mối đe dọa diễn kể từ khi chúng được sử dụng kết hợp trong cùng nhắm mục tiêu tấn công và họ tống có cùng địa chỉ email,” nhà nước của các chuyên gia.

Tên ONI có nguồn gốc từ phần mở rộng tập tin của các tập tin được mã hóa: ‘.oni’ có nghĩa là ‘ma quỷ’ ở Nhật bản. Các thuật ngữ cũng xuất hiện trong các địa chỉ email liên hệ được sử dụng trong các ghi chú đòi tiền chuộc: “Oninoy0ru” mà có thể được dịch là Nhật bản cho ‘Đêm của quỷ’.

Trong khi phân tích các trường hợp tấn công, Cybereason nhận thấy một operandi modus. Nó bắt đầu với thành công các cuộc tấn công lừa đảo trực tuyến thương dẫn đến việc giới thiệu Ammyy Admin Rat, sau một thời gian của trộm cắp trinh sát và ủy nhiệm và bên phong trào “cuối cùng ảnh hưởng đến tài sản quan trọng, bao gồm bộ điều khiển tên miền ( DC), để đạt được đầy đủ quyền kiểm soát mạng.”

Giai đoạn cuối cùng của cuộc tấn công là sử dụng đăng nhập wipers và ONI phân phối thông qua một rogue chính sách Nhóm (GPO), trong Cybereason những gì mô tả như là một chính sách đất scorched’. GPO sẽ chép một kịch bản hàng loạt từ các máy chủ DC, lau sạch các cửa sổ các bản ghi sự kiện để trang trải theo dõi những kẻ tấn công và tránh đăng nhập dựa trên phát hiện.

Tập tin thực thi sử dụng wevtutil lệnh cùng với cờ “cl”, thanh toán bù trừ các sự kiện từ nhiều hơn 460 bản ghi sự kiện được chỉ định. ONI cũng sẽ được sao chép từ DC và thi hành, mã hoá một mảng lớn của các tập tin.

MBR-ONI ransomware sử dụng ít hơn so với chỉ một số ít là hai điểm cuối. Đây là tài sản quan trọng như các máy chủ quảng cáo và máy chủ tập tin. Mặc dù thực tế rằng ONI và MBR-ONI về mặt kỹ thuật được giải mã (và do đó có thể được phân loại như ransomware chứ không phải là wipers), “Chúng tôi nghi ngờ,” các chuyên gia nói rằng, “rằng MBR-ONI được sử dụng một khăn lau để che giấu các hoạt động động cơ thực sự.”

Các nhà nghiên cứu cũng cho rằng EternalBlue được sử dụng với các công cụ khác để lây lan qua các mạng lưới. Mặc dù thực tế rằng lau đăng nhập và tham nhũng dữ liệu gây ra bởi các cuộc tấn công làm cho điều này khó khăn để được xác nhận, nó đã được ghi nhận vá EternalBlue đã không được cài đặt trên các máy bị xâm phạm, và dễ bị tổn thương SMBv1 vẫn được kích hoạt.

ONI ransomware chia sẻ mã với GlobeImposter, và cho thấy dấu vết của ngôn ngữ tiếng Nga. “Trong khi loại bằng chứng có thể có được trái có trên mục đích của những kẻ tấn công là decoy,” các chuyên gia bang, “nó có thể cũng gợi ý rằng các cuộc tấn công đã được thực hiện bởi người nói tiếng Nga, hoặc ít nhất, ransomware đã được viết bởi Người nói tiếng Nga.”

MBR-ONI ransomware sử dụng tin nhắn đòi tiền chuộc và ID giống nhau cho tất cả các máy bị nhiễm bệnh. Một phiên bản sửa đổi của các công cụ mã nguồn mở DiskCryptor được sử dụng cho mã hóa. Mặc dù điều này có thể được giải mã, nếu những kẻ tấn công cung cấp các phím bên phải, “chúng tôi nghi ngờ rằng những kẻ tấn công không bao giờ có ý định cung cấp phục hồi cho các máy được mã hóa. Thay vào đó, chương trình có nghĩa là để được sử dụng như một khăn lau để trang trải những kẻ tấn công dấu chân và che giấu các động cơ của vụ tấn công.”

Theo các chuyên gia, không chắc đạt được tài chính là động lực duy nhất cho ONI vụ tấn công tại Nhật bản. Các nhà nghiên cứu cũng lưu ý rằng không có các báo cáo ngày càng tăng của ransomware được sử dụng như một gạt nước bởi Subscribers và tiểu bang quốc gia trong các phần khác của thế giới.


Leave a Reply

Your email address will not be published. Required fields are marked *