Hackare använda MBR-ONI Ransomware som riktade Wiper

Computer Security News

ONI ransomware hittades i Japan, tidigare i år. Enligt säkerhetsforskare, hotet är en underart av GlobeImposter ransomware som, ”när den infekterar det, den krypterar filen, tilldelar den förlängning .oni till filnamnet, och ber om betalning att dekryptera den.”

Experter från Cybereason hävdar att ONI är mindre ransomware, och mer ”en torkare att täcka upp en genomarbetad hacking operation”.

I sin senaste rapport, har forskarna bundit bruket av ONI till sofistikerade attacker på japanska industrin. Räderna varade mellan tre och nio månader, och endast kulminerade i användningen av ransomware. Hotet var, i praktiken används för att dölja i syfte och effekten av hacka.

Cybereason undersökningen visade en ny bootkit ransomware, som kallas MBR-ONI, som ändrar MBR och krypterar diskpartitioner.

”Vi fann att både ONI och MBR-ONI stamceller från samma hot skådespelaren eftersom de användes tillsammans i samma riktade attacker och deras hotbrev innehåller samma mejladress”, experter staten.

Namnet ONI härstammar från filtillägget av krypterade filer: ‘.oni’ vilket betyder ‘djävulen’ på japanska. Termen förekommer också i den e-postadress som används i lösen noterna: ”Oninoy0ru” vilket kan översättas till japanska för ‘Natt av djävulen’.

Samtidigt analysera attack instanserna, märkt Cybereason ett modus operandi. Det började med framgångsrika spjut-phishing-attacker som ledde till Ammyy Admin råtta införandet, följt av en period av spaning och autentiseringsuppgifter stöld och sidoförskjutning ”i slutändan att kompromissa kritiska tillgångar, inklusive den domän controller ( DC), att få full kontroll över nätverket ”.

Slutskedet av attacken är användningen av loggen vindrutetorkare och ONI distribueras via en rogue grupp försäkringsbrev (GPO), i vilken Cybereason beskriver som en ”brända jordens taktik’. Grupprincipobjektet skulle kopiera ett kommandoskript från DC servern, torka ren fönstren händelseloggar för att täcka angriparna spår och undvika log-baserad detektion.

Kommandofilen används kommandot wevtutil tillsammans med flaggan ”cl”, rensa händelser från mer än 460 angivna händelseloggar. ONI skulle också vara kopierat från DC och avrättades, kryptera ett stort utbud av filer.

Den MBR-ONI ransomware används mer sparsamt mot bara en handfull slutpunkterna. Dessa var de kritiska tillgångarna såsom AD server och filservrar. Trots att både ONI och MBR-ONI tekniskt kunde dekrypteras (och kan följaktligen klassificeras som ransomware i stället för vindrutetorkare), ”vi misstänker”, experter säger, ”att MBR-ONI var används som en torkare att dölja operationens sanna motivet”.

Forskarna misstänker också att EternalBlue användes med andra verktyg för att spridas genom nätverk. Trots att logga Torkarfunktionen och data korruption orsakad av attackerna gör detta svårt att bekräftas, noteras EternalBlue plåstret inte hade installerats på komprometterad maskinerna och den sårbara SMBv1 var fortfarande aktiverad.

ONI ransomware delar koden med GlobeImposter och visar ryska språket spår. ”Medan denna typ av bevis kunde har kvar det med flit av angriparna som lockbete”, experter statliga, ”det kan också föreslå att attackerna var utförs av ryska högtalare eller, åtminstone, att ransomware skrevs av Ryska högtalare ”.

MBR-ONI ransomware använder samma lösen meddelande och ID för alla infekterade maskiner. En modifierad version av verktyget öppen källkod DiskCryptor användes för kryptering. Trots detta kunde dekrypteras om angriparna förse knappen till höger, ”vi misstänker att angriparna aldrig avsedda att ge återhämtning för krypterade maskiner. I stället programmet var tänkt att användas som en torkare att täcka angriparna fotspår och dölja attackens motiv ”.

Enligt experterna är det osannolikt att ekonomisk vinning är det enda motivet för ONI attacker i Japan. Forskarna har också notera att det finns ökande rapporter av ransomware som används som en torkare av både cyberbrottslingar och nationalstater i andra delar av världen.


Leave a Reply

Your email address will not be published. Required fields are marked *