Хакерская группа MosesStaff вступила в схватку с «вымогателями» с той разницей, что они больше всего не задумываются о платежах по шантажу.

15 ноября Check Point Research (CPR) сообщила, что группа начала нацеливаться на организации в Израиле во время Сентябрь этого года, присоединяясь к кампаниям, запущенным Pay2Key и Черная тень.

Эти операции были направлены на развертывание программ-вымогателей в системах жертвы, нанесение ущерба и кражу ценной информации, предназначенной для будущих публичных утечек.

Операторы программ-вымогателей, включая Maze, Conti и LockBit, и многие другие, приняли тактику двойного вымогательства, запустив специальные сайты для утечки данных в Dark Web.

Во время нападения эти группы украдут ценную корпоративную информацию перед шифрованием систем жертвы. Если они отказываются платить, эти организации сталкиваются с угрозой утечки этих данных для общественности или продажи.

Однако MosesStaff открыто заявляет о своих намерениях: атаки носят политический характер. Не требуется выкупа — единственная цель — украсть информацию и нанести ущерб.

«На языке нападавших их цель -« бороться с сопротивлением и разоблачать преступления сионистов на оккупированных территориях », — заявляет CPR.

Исследователи предполагают, что первоначальный доступ обеспечивается через уязвимости в общедоступных системах, таких как ошибки в Microsoft Exchange Server, которые были исправлены ранее в этом году.

После защиты доступа MosesStaff отбрасывает веб-оболочку для выполнения дальнейших команд; пакетные скрипты для отключения брандмауэра Windows и включения SMB; PsExec для удаленного управления процессами; и OICe.exe, исполняемый файл, написанный на языке программирования Golang для приема и выполнения команд через командную строку.

Затем с машины жертвы извлекаются данные, включая доменные имена, имена компьютеров и учетные данные — информация, которая затем используется для компиляции специальной версии вредоносного ПО PyDCrypt. Эта полезная нагрузка предназначена для заражения любых других уязвимых компьютеров в сети, а также для обеспечения правильного выполнения основной полезной нагрузки шифрования, DCSrv. DCSrv основан на инструменте DiskCryptor с открытым исходным кодом.

Загрузчик DiskCryptor также запускается, чтобы гарантировать невозможность повторной загрузки системы без пароля. Однако исследователи говорят, что можно отменить текущий процесс шифрования, если правильно хранимые записи EDR будут доступны при правильных обстоятельствах.

Атрибуция в данном случае не является твердой, но CPR подозревает, что они могут быть расположены в Палестине из-за журналов времени разработки и подсказок по кодированию в используемом инструменте, OICe.exe, который был отправлен в VirusTotal из Палестины за несколько месяцев до начала кампании.

«Подобно бандам Pay2Key и BlackShadow до них, группа MosesStaff руководствуется политикой и идеологией, чтобы нацеливаться на израильские организации», — комментируют исследователи. Однако, в отличие от этих предшественников, они совершили явную ошибку, когда создали свою собственную схему шифрования, что, честно говоря, является сюрпризом в сегодняшних условиях, когда каждый двухбитный киберпреступник, кажется, знает хотя бы основы того, как собрать работающую программу-вымогатель. »

Предыдущее и связанное с ним покрытие

Есть чаевые? Свяжитесь с нами безопасно через WhatsApp | Сигнал на +447713 025 499 или на Keybase: charlie0