Το νέο malware που χρησιμοποιείται σε επιθέσεις εναντίον εκπαιδευτικών ιδρυμάτων

Η συμμορία του



PYSA ransomware

χρησιμοποιεί ένα

Trojan απομακρυσμένης πρόσβασης (RAT)

γραμμένο στη



γλώσσα προγραμματισμού


Golang

(Go), στα πλαίσια νέων επιθέσεων εναντίον εγκαταστάσεων



υγειονομικής περίθαλψης

και εκπαιδευτικών ιδυμάτων των ΗΠΑ. Πρόκειται για το

ChaChi

που έχει ως στόχο την




κλοπή δεδομένων


, τα οποία αργότερα θα χρησιμοποιηθούν σε




τακτικές

διπλού εκβιασμού

για την απαίτηση λύτρων από τα

θύματα

. Η ερευνητική ομάδα του

BlackBerry Threat Research and Intelligence

ανέφερε στις

22 Ιουνίου

ότι το νέο ChaChi malware χρησιμοποιείται επίσης ως

βασικό στοιχείο

για την εκτέλεση ransomware επιθέσεων.

Διαβάστε επίσης:


Νέο malware

εμποδίζει τα

θύματα

να επισκεφτούν “



πειρατικά sites

”

Όπως αναφέραμε προηγουμένως, το ChaChi είναι γραμμένο στη GoLang, μια



γλώσσα προγραμματισμού

που τώρα υιοθετείται ευρέως από παράγοντες απειλής, σε μια μετατόπιση από τη C και τη C ++, λόγω της ευελιξίας της και της ευκολίας σύνταξης κωδικών μεταξύ πλατφορμών.

Σύμφωνα με την

Intezer

, παρατηρήθηκε


αύξηση

κατά περίπου 2.000%


στα δείγματα Go-based malware

τα τελευταία χρόνια.

Το ChaChi ανακαλύφθηκε το πρώτο εξάμηνο του 2020

και η

αρχική παραλλαγή

του RAT Trojan συνδέθηκε με




κυβερνοεπιθέσεις

εναντίον γαλλικών αρχών

, οι οποίες αναφέρονται από την έκθεση

CERT France σε μια αναφορά Indators of Compromise (IoC)

. Ωστόσο τώρα, έχει εμφανιστεί μια

πολύ πιο περίπλοκη παραλλαγή

του malware.

Δείτε ακόμη:

Πως το

νέο malware

Siloscape παραβιάζει τα “Kubernetes clusters”;

Τα πιο πρόσφατα διαθέσιμα δείγματα έχουν συνδεθεί με



επιθέσεις

εναντίον μεγάλων εκπαιδευτικών ιδρυμάτων των ΗΠΑ.

Συγκριτικά με την πρώτη παραλλαγή

του ChaChi, η οποία είχε

law-level



δυνατότητες


, το malware είναι πλέον σε θέση να εκτελεί

τυπικές δραστηριότητες RAT

, συμπεριλαμβανομένης της δημιουργίας backdoor και της απομάκρυνσης δεδομένων, καθώς και του credential dumping μέσω της υπηρεσίας υποσυστήματος αρχής τοπικής ασφάλειας των Windows (LSASS), απαρίθμηση δικτύου, DNS tunneling, SOCKS proxy functionality,



δημιουργία

υπηρεσιών και πλευρική

κίνηση

μεταξύ δικτύων.

Το malware χρησιμοποιεί επίσης ένα δημόσια προσβάσιμο



εργαλείο

GoLang, το

gobfuscate

, για σκοπούς obfuscation. Το ChaChi

έλαβε την ονομασία του από τα Chashell και Chisel

, δύο εργαλεία που χρησιμοποιούνται από το malware κατά τη διάρκεια επιθέσεων και που έχουν τροποποιηθεί για αυτούς τους σκοπούς. Το Chashell είναι ένα reverse shell έναντι του παρόχου DNS, ενώ το Chisel είναι ένα port-forwarding

σύστημα

.

Πρόταση:


Ευρώπη

: Διπλασιάστηκαν οι σοβαρές



κυβερνοεπιθέσεις

το 2020

Οι ερευνητές της BlackBerry πιστεύουν ότι το Trojan είναι

έργο της συμμορίας του PYSA / Mespinoza

, μιας ομάδας που δραστηριοποιείται στο τοπίο των απειλών

από το 2018

. Αυτή η ομάδα είναι γνωστή για την

εκτέλεση ransomware εκστρατειών

καθώς και για τη χρήση της επέκτασης

.PYSA

κατά την



κρυπτογράφηση

των αρχείων των εκάστοτε θυμάτων. Το PYSA σημαίνει

“Προστάτεψε το σύστημά σου Amigo”


(Protect Your System Amigo)

.

Το

FBI

έχει εκδώσει στο παρελθόν

προειδοποιήσεις για

αύξηση

των επιθέσεων

της εν λόγω συμμορίας

εναντίον σχολείων του Ηνωμένου Βασιλείου και των ΗΠΑ

.

Σύμφωνα με τους ερευνητές, η συμμορία εστιάζει κυρίως σε

υψηλού προφίλ στοχους

που μπορούν να πληρώσουν

τεράστια ποσά σε λύτρα

. Τέλος, οι



επιθέσεις

ελέγχονται συνήθως από έναν

ανθρώπινο χειριστή

και όχι από ένα task αυτοματοποιημένων εργαλείων.

Πηγή πληροφοριών: zdnet.com