Gli operatori di Hello ransomware hanno utilizzato metodi da APT cinesi

Posted by

Gli aggressori avrebbero voluto fuorviare le indagini.

Un team di ricercatori nel campo della società di sicurezza informatica eSentire ha raccontato i dettagli del misterioso attacco informatico, durante il quale ha utilizzato sofisticati metodi di installazione relativamente semplici estorsori del programma.

La campagna dannosa è stata scoperta quando i criminali informatici hanno tentato un attacco ransomware contro un’organizzazione di test di sicurezza del prodotto senza nome. L’attacco è stato rilevato e fermato prima che avesse successo, ma ha fornito ai ricercatori di eSentire informazioni sufficienti per analizzare le tattiche, i metodi e le procedure utilizzate.

I metodi utilizzati in questa campagna di ransomware erano simili a quelli del gruppo di criminali informatici cinese APT27 (noto anche come Emissary Panda). Secondo gli esperti, i criminali informatici potrebbero aver caricato il semplice ransomware Hello nell’ambiente IT della vittima e quindi distrarre gli esperti di sicurezza delle informazioni dai loro veri motivi: lo spionaggio informatico.

Gli hacker hanno sfruttato le vulnerabilità di Microsoft SharePoint e dello strumento di accesso remoto China Chopper, che funge da backdoor sui sistemi compromessi. La web shell China Chopper viene spesso utilizzata da gruppi e aggressori cinesi APT.

I criminali hanno anche utilizzato Mimikatz per rubare password, aumentare i privilegi, provare a disabilitare le soluzioni di sicurezza ed eseguire comandi PowerShell utilizzando tecniche di mascheramento, mascherandosi da soluzione Kaspersky Anti-Virus legittima.

Usando le tattiche dei gruppi di criminali informatici, gli aggressori avrebbero voluto fuorviare le indagini.

Hello ransomware crittografa i file con l’estensione .hello e lascia una richiesta di riscatto. Hello ransomware è abbastanza semplice per gli standard del ransomware più famoso del 2021, in quanto il gruppo non minaccia le vittime con violazioni dei dati e non dispone di un sito di violazione dei dati per pubblicare informazioni rubate. Inoltre, il modello di business ransomware-as-a-service non funziona come molte delle varianti di ransomware più diffuse oggi.

Vuoi commentare? Accendi la discussione