Redactie - 11 augustus 2023

Ransomware Command-and-Control Providers ontmaskerd door Halcyon Researchers

Ransomware Command-and-Control Providers ontmaskerd door Halcyon Researchers image

Het Halcyon Research and Engineering Team heeft nieuw onderzoek gepubliceerd waarin nieuwe technieken worden beschreven die worden gebruikt om weer een andere Ransomware Economy-speler te ontmaskeren die ransomware-aanvallen en door de staat gesponsorde APT-operaties mogelijk maakt: Command-and-Control Providers (C2P) die diensten verkopen aan bedreigingsactoren terwijl uitgaande van een wettelijk zakelijk profiel.

Hoewel deze C2P-entiteiten ogenschijnlijk legitieme bedrijven zijn die al dan niet weten dat hun platforms worden misbruikt voor aanvalscampagnes, vormen ze niettemin een belangrijke pijler van het grotere aanvalsapparaat dat wordt gebruikt door enkele van de meest geavanceerde bedreigingsactoren.

In dit rapport, getiteld Cloudzy with a Chance of Ransomware: Unmasking Command-and-Control Providers (C2Ps), demonstreert Halcyon een unieke methode voor het identificeren van C2P-entiteiten die kunnen worden gebruikt om de voorlopers van grote ransomware-campagnes en andere geavanceerde aanvallen aanzienlijk te voorspellen. links van de boem.” Halcyon identificeert ook twee nieuwe, voorheen niet bekendgemaakte ransomware-filialen die Halcyon volgt, namelijk Ghost Clown en Space Kook, die momenteel respectievelijk BlackBasta en Royal inzetten.

Het rapport beschrijft ook hoe we dezelfde methode gebruikten om de twee ransomware-filialen te koppelen aan dezelfde internetprovider, Cloudzy , die cryptocurrencies accepteert in ruil voor anoniem gebruik van zijn Remote Desktop Protocol (RDP) Virtual Private Server (VPS)-services.

Belangrijkste bevindingen:

  • Halcyon beweert dat er, op basis van dit onderzoek, nog een andere belangrijke speler is die de snelgroeiende ransomware-economie ondersteunt: Command-and-Control Providers (C2P) die - al dan niet bewust - diensten verlenen aan aanvallers terwijl ze een legitiem bedrijfsprofiel aannemen.
  • Bedreigingsactoren waarvan wordt vastgesteld dat ze gebruikmaken van Cloudzy, zijn onder meer APT-groepen die banden hebben met de Chinese, Iraanse, Noord-Koreaanse, Russische, Indiase, Pakistaanse en Vietnamese regeringen; een gesanctioneerde Israëlische spywareverkoper wiens tools bekend staan ​​om burgers; verschillende criminele syndicaten en aan ransomware gelieerde ondernemingen wier campagnes internationale krantenkoppen hebben opgeleverd.
  • Halcyon gebruikt een onwaarschijnlijk draaipunt - namelijk RDP-hostnamen binnen de metadata van de aanvalsinfrastructuur van een gelieerde onderneming - waarmee beveiligingsteams dreigende ransomware-aanvallen kunnen detecteren voordat ze worden gelanceerd terwijl de aanvalsinfrastructuur wordt opgeheven.
  • Halcyon stelt vast dat Cloudzy – dat cryptocurrencies accepteert in ruil voor anoniem gebruik van zijn Remote Desktop Protocol (RDP) Virtual Private Server (VPS)-diensten – de gebruikelijke serviceprovider lijkt te zijn die ransomware-aanvallen en andere cybercriminele inspanningen ondersteunt.
  • Halcyon identificeert ook een lange lijst van door de overheid gesponsorde APT-gerelateerde aanvallen van meerdere jaren die gebruik lijken te maken van Cloudzy-services, waarvan wordt vastgesteld dat (potentieel) tussen de 40% en 60% van de totale activiteit als kwaadaardig van aard kan worden beschouwd .
  • Halcyon presenteert bewijs dat, hoewel Cloudzy in de Verenigde Staten is opgericht, het vrijwel zeker opereert vanuit Teheran, Iran – in mogelijke schending van Amerikaanse sancties – onder leiding van iemand die de naam Hassan Nozari draagt.
  • Halcyon identificeerde twee voorheen onbekende ransomware-filialen genaamd Ghost Clown en Space Kook die momenteel respectievelijk BlackBasta- en Royal-ransomware-stammen inzetten.

Dit rapport documenteert wat wordt beschouwd als een patroon van consistent gebruik of misbruik van servers die worden geleverd door internetprovider Cloudzy door meer dan twee dozijn verschillende bedreigingsactoren, waaronder:

  • Groepen die banden hebben met de Chinese, Iraanse, Noord-Koreaanse, Russische, Indiase, Pakistaanse en Vietnamese regeringen
  • Een gesanctioneerde Israëlische spywareverkoper wiens tools bekend staan ​​om het maatschappelijk middenveld
  • Verschillende andere criminele syndicaten en aan ransomware gelieerde ondernemingen wier campagnes eerder internationale krantenkoppen haalden.

Halcyon concludeert dit rapport door ISP Cloudzy onder de loep te nemen en presenteert bewijs dat hoewel Cloudzy beweert een in Amerika gevestigd bedrijf te zijn, wordt aangenomen dat het feitelijk opereert vanuit Teheran, Iran, mogelijk in strijd met Amerikaanse sancties.

"Halcyon raadt de technische lezers van dit rapport aan in bijgevoegde indicatoren van compromittering te gebruiken om hun netwerken te doorzoeken op kwaadaardige activiteiten die we hebben gekoppeld aan C2P Cloudzy, en dat ze er onmiddellijk op letten wanneer een van de 11 RDP-hostnamen die we hebben geïdentificeerd, opduikt in hun omgevingen. We raden verdedigers aan om op deze hostnamen te letten, zowel met terugwerkende kracht, om mogelijke aanvallen die al gaande zijn, te identificeren, maar ook proactief, om kwaadwillende activiteiten in het begin te voorkomen", zo meldt Halcyon.

Algosec 14/11/2024 t/m 28/11/2024 BW Lenovo Channel Campagne vierkant
Axians 12/11/2024 t/m 26/11/2024 BN+BW

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!