Nguồn gốc Ransomware FiveHands là gì
Một nhóm những kẻ tấn công mạng có động cơ tài chính đã khai thác lỗi Zero-day trong các thiết bị VPN SonicWall SMA 100 Series. Điều này giúp những kẻ tấn công giành quyền truy cập vào các mạng doanh nghiệp để có thể triển khai một chủng Ransomware mới được phát hiện, được gọi là Ransomware FiveHands.
Cho đến nay nạn nhân của Ransomware FiveHands chủ yếu là các tổ chức ở Châu Âu và Bắc Mỹ. Phần mềm tống tiền này có một số điểm tương đồng với cả hai dòng ransomware HelloKitty và DeathRansom. Các nhà nghiên cứu tin rằng Ransomware FiveHands được mô tả tốt nhất như một cuốn tiểu thuyết viết lại DeathRansom.
Nhóm những kẻ tấn công có động cơ tài chính đứng sau vụ tấn công được công ty an ninh không gian mạng FireEye theo dõi là UNC2447. Trong một báo cáo được công bố năm 2021 nêu chi tiết cách UNC2447 khai thác lỗ hổng SonicWall, người ta lưu ý rằng những kẻ tấn công này đã được nhìn thấy phát tán phần mềm độc hại vào tháng 1 và tháng 2 năm 2021.
Lỗ hổng đang được những kẻ tấn công này khai thác là CVE – 2021-20016, một lỗ hổng SQL bị vô hiệu hóa nghiêm trọng thông qua việc khai thác các sản phẩm truy cập từ xa dòng SonicWall Secure Mobile Access SMA 100 chưa được vá.
CVE-2021-20016 cũng là ngày 0 mà công ty có trụ sở tại San Jose cho biết đã bị “những kẻ đe dọa tinh vi” lợi dụng để thực hiện một “cuộc tấn công phối hợp vào các hệ thống nội bộ” vào đầu năm nay. Vào ngày 22 tháng 1, SonicWall đã bị xâm phạm bằng cách khai thác “lỗ hổng zero-day có thể xảy ra” trong các thiết bị truy cập từ xa dòng SMA 100 của công ty.
Việc khai thác thành công lỗ hổng này sẽ cấp cho những kẻ tấn công khả năng truy cập thông tin đăng nhập cũng như thông tin phiên mà sau đó có thể được sử dụng để đăng nhập vào thiết bị dòng SMA 100 chưa được vá lỗi. Điều quan trọng cần lưu ý là lỗ hổng chỉ ảnh hưởng đến các thiết bị VPN SMA 100 Series và lỗ hổng này đã được SonicWall vá vào tháng 2 năm 2021. Do đó, người dùng thiết bị VPN nên đảm bảo rằng bản vá đã được cài đặt và cập nhật.
Không chỉ Ransomware FiveHands sẽ được phân phối như một trọng tải độc hại, mà UNC2447 cũng sẽ loại bỏ SombRAT đã được phát hiện trước đây trong chiến dịch CostaRico, nơi gián điệp mạng được thực hiện bởi một bên thứ ba thay mặt cho một tác nhân đe dọa. SombRAT hoạt động như một trojan truy cập từ xa được các tác nhân đe dọa sử dụng để giao tiếp với các máy chủ điều khiển và chỉ huy được sử dụng trong các cuộc tấn công.
Phần mềm độc hại có thể giao tiếp với các máy chủ điều khiển và chỉ huy thông qua một số giao thức, bao gồm DNS, TCP được mã hóa bằng TLS và các WebSocket có khả năng xảy ra.
Hơn nữa, nhiều lệnh được phần mềm độc hại sử dụng cho phép người vận hành thao tác với tệp lưu trữ được mã hóa sau đó định cấu hình lại thiết bị cấy ghép. Mục đích chính của backdoor là tải xuống và thực thi các plugin được cung cấp thông qua máy chủ điều khiển và lệnh. Trong phiên bản mới nhất của SombRAT được sử dụng trong các cuộc tấn công của Ransomware FiveHands, công ty an ninh không gian mạng FireEye đã quan sát thấy các phương tiện gây rối và trang bị bổ sung để kịp thời phát hiện.
Ransomware FiveHands
Vào tháng 10 năm 2020, các nhà nghiên cứu của công ty an ninh không gian mạng FireEye đã phát hiện ra Ransomware FiveHands, một phiên bản tùy chỉnh của DeathRansom nhưng đã được loại bỏ tính năng kiểm tra ngôn ngữ. Nhiều điểm tương đồng giữa DeathRansom, Ransomware FiveHands và HelloKitty đã được tìm thấy.
Một trong những điểm tương đồng lớn nhất giữa cả ba là cách chúng loại bỏ các bản sao lưu. Cả ba đều sử dụng cùng một mã qua WMI bằng cách thực hiện truy vấn từ Win32_ShadowCopy và sau đó loại bỏ từng trường hợp được trả về bởi id của chúng. Cả ba cũng có quy trình mã hóa tương tự, sử dụng cả khóa công khai không đối xứng được tạo hoặc mã hóa cứng và khóa đối xứng được tạo cho mỗi tệp được mã hóa. Các nhà nghiên cứu của công ty an ninh không gian mạng FireEye đã cung cấp một bản tóm tắt về từng chủng
- DeathRansom: được viết bằng C trong khi hai họ còn lại được viết bằng C ++. DEATHRANSOM sử dụng một loạt các vòng lặp do / while riêng biệt để liệt kê thông qua tài nguyên mạng, ổ đĩa logic và thư mục. Nó cũng sử dụng QueueUserWorkItem để triển khai gộp luồng cho các luồng mã hóa tệp của nó” mạng, ổ đĩa logic và thư mục. Nó cũng sử dụng QueueUserWorkItem để triển khai gộp luồng cho các luồng mã hóa tệp của nó.
- HelloKitty: được viết bằng C ++, nhưng thực hiện lại một phần đáng kể chức năng của DEATHRANSOM bằng cách sử dụng các hoạt động vòng lặp tương tự và tổng hợp luồng thông qua QueueUserWorkItem. Cấu trúc mã để liệt kê tài nguyên mạng, ổ đĩa logic và thực hiện mã hóa tệp là rất giống nhau. Ngoài ra, HELLOKITTY và DEATHRANSOM chia sẻ các chức năng rất giống nhau để kiểm tra trạng thái hoàn thành của chuỗi mã hóa của họ trước khi thoát ra.
- Ransomware FiveHands: được viết bằng C ++ và mặc dù chức năng cấp cao là tương tự nhau, nhưng các lệnh gọi hàm và cấu trúc mã để triển khai phần lớn chức năng được viết khác nhau. Ngoài ra, thay vì thực thi các luồng bằng QueueUserWorkItem, FIVEHANDS sử dụng IoCompletionPorts để quản lý hiệu quả hơn các luồng mã hóa của nó. FIVEHANDS cũng sử dụng nhiều chức năng hơn từ thư viện mẫu chuẩn C ++ (STL) hơn là HELLOKITTY.
Một trong những thay đổi đáng kể đối với Ransomware FiveHands là nó sử dụng “máy thả” đã được mã hóa chạy từ bộ nhớ. Khi “máy thả” này nhận được khóa chính xác, nó sẽ thả tải mã hóa độc hại vào máy của nạn nhân. Tải trọng được lưu trữ và mã hóa bằng AES-128. Trọng tải Ransomware FiveHands được giải mã sẽ được thực thi ngay lập tức sau khi giải mã. Theo FireEye, công ty bảo mật mới chỉ quan sát thấy các “máy thả” được mã hóa với một lần tấn công chung là 8517cf209c905e801241690648f36a97.
Sự cố Whistler Ransomware
Người ta tin rằng cuộc tấn công được thực hiện bởi một hoạt động ransomware mới. Trong phạm vi bảo hiểm của Máy tính Bleeping về khám phá Ransomware FiveHands, người ta lưu ý rằng trang web Tor được phát hiện bởi công ty an ninh không gian mạng FireEye và trang web được sử dụng trong cuộc tấn công Whistler là tương tự nhau. Điều này đã khiến một số người tin rằng chúng có liên quan hoặc thậm chí có thể được thực hiện bởi cùng một nhóm những kẻ tấn công.
Tuy nhiên, vẫn còn quá sớm để liên kết hai vụ việc cho đến khi có nhiều bằng chứng hơn được đưa ra. Nếu chúng có liên quan với nhau, những điều lạ sẽ còn xảy ra trong InfoSec.
Ransomware FiveHands được xem là nhằm vào các tổ chức Bắc Mỹ nên nếu vụ việc có liên quan đến UNC2447, những thế lực mà công ty an ninh không gian mạng FireEye tin rằng là đứng sau FiveHands. Đây sẽ không là thông tin quá bất ngờ đối với một vài người.
