For nylig har cybersikkerhedsforskere hos Trend Micro opdaget, at trusselsaktører forbundet med BlackCat ransomware har brugt vildledende malvertising-teknikker til at distribuere ondsindede installatører forklædt som den legitime WinSCP-filoverførselsapplikation.

Ifølge analysen offentliggjort af Trend Micro i sidste uge, brugte de ondsindede aktører malvertising til at udbrede deres malware gennem klonede websider fra velrenommerede organisationer. I dette særlige tilfælde målrettede de en webside relateret til WinSCP, et velkendt open source Windows-program, der bruges til filoverførsel.

Malvertising-kampagnen blev drevet ved at kapre specifikke søgeord, såsom "WinSCP Download," for at vise svigagtige annoncer på søgemaskineresultatsider på populære platforme som Bing og Google. Disse vildledende annoncer havde til formål at omdirigere intetanende brugere til tvivlsomme websteder.

Det primære mål med denne malvertising-ordning var at narre brugere, der søger efter WinSCP, til at downloade malware. Den malware, der blev brugt i dette angreb, var en bagdør indeholdende et Cobalt Strike Beacon, som var forbundet til en ekstern server for at udføre efterfølgende operationer. For at fremme deres mål brugte trusselsaktørerne også legitime værktøjer som AdFind for at lette netværksopdagelse.

Da angriberne fik adgang gennem Cobalt Strike, downloadede angriberne flere programmer til at udføre forskellige ondsindede aktiviteter. Disse aktiviteter omfattede rekognoscering, optælling ved hjælp af PowerView, lateral bevægelse ved hjælp af PsExec, omgåelse af antivirussoftware med KillAV BAT og eksfiltrering af kundedata gennem PuTTY Secure Copy-klienten. Angriberne blev også observeret ved at bruge Terminator-forsvarsunddragelsesværktøjet til at manipulere med sikkerhedssoftware ved hjælp af et Bring Your Own Vulnerable Driver (BYOVD)-angreb.

Trend Micros detaljerede analyse af angrebskæden afslørede, at trusselsaktørerne formåede at stjæle administratorrettigheder på øverste niveau, hvilket gjorde dem i stand til at udføre aktiviteter efter udnyttelse. De forsøgte også at få adgang til backup-servere og etablere persistens gennem fjernovervågning og styringsværktøjer som AnyDesk.

Havde interventionen ikke fundet sted rettidigt, ville virksomheden, der var målrettet i angrebet, have lidt alvorlige konsekvenser, i betragtning af at trusselsaktørerne allerede havde fået indledende adgang til domæneadministratorrettigheder og med succes etableret bagdøre og persistens i henhold til Trend Micro.

Denne hændelse fremhæver endnu et eksempel på trusselsaktører, der udnytter onlineannonceringsplatforme som Google Ads til at distribuere malware. Microsoft afslørede tidligere en angrebskampagne i november 2022, hvor angriberne brugte reklametjenesten til at implementere BATLOADER, hvilket førte til faldet af Royal ransomware.

Ydermere udgav det tjekkiske cybersikkerhedsfirma Avast en gratis dekryptering til Akira ransomware, der tilbyder ofre en måde at gendanne deres data uden at give efter for operatørernes krav om løsepenge. Akira, som dukkede op i marts 2023, udvidede sit målområde til at omfatte Linux-systemer.

Efterhånden som cyberkriminalitetslandskabet fortsætter med at udvikle sig med forskellige trusselsaktører, der stiger og falder, forbliver ransomware en vedvarende og farlig trussel. For nylig dukkede en ny ransomware-as-a-service (RaaS) gruppe ved navn Rhysida op, primært rettet mod uddannelses-, regerings-, fremstillings- og teknologisektorer på tværs af Vesteuropa, Nord- og Sydamerika og Australien.

SentinelOne gav teknisk indsigt i Rhysida og beskrev det som en 64-bit Portable Executable (PE) Windows kryptografisk ransomware-applikation kompileret ved hjælp af MINGW/GCC. Værktøjets programnavn, Rhysida-0.1, antyder, at det er i sine tidlige udviklingsstadier.