Är ökända cyberkriminella ligan Evil Corp egentligen ryska spioner?

Är ökända cyberkriminella ligan Evil Corp egentligen ryska spioner?

Publicerat av: Redaktionen

Tjänar cyberkriminella ligors aktiviteter som en rökridå för att dölja ryskt spioneri?

Är ökända cyberkriminella ligan Evil Corp egentligen ryska spioner?

Är ökända cyberkriminella ligan Evil Corp egentligen ryska spioner?

I månader har Truesecs Threat Intelligence-team bevakat aktiviteterna hos ryska ransomware-ligor och rysk underrättelseverksamhet. Mycket talar för att ryska staten står bakom cyberattackerna.

I oktober 2020 genomfördes en ransomware attack mot ett stort företag. Den initiala attackvektorn var en så kallad drive-by-download: en legitim webbsida som hackats så att besökare på webbsidan uppmanades att uppdatera sin webbläsare genom att ladda ner en zip-fil med skadlig kod.

Angriparen påbörjade manuellt arbete inom några minuter efter att den skadliga koden aktiverats, vilket tyder på att man haft kontinuerlig bevakning av kontrollservern, eftersom man inte kunde veta när offret skulle besöka den infekterade webbsidan.

Efter bara några timmar hade angriparen skaffat sig administratörsrättigheter, tagit över nätverket och placerat ut Cobalt Strike på flera platser i systemet. Därefter avtog verksamheten. I nästan fyra veckor gjorde angriparen inget utom att metodiskt rekognoscera nätverket. De sista två veckorna koncentrerades arbetet till att systematiskt kartlägga nätverksresurser för backup och erhålla rättigheter för att kunna förstöra dem.

Hela attacken var mycket sofistikerad

Till sist placerade aktören ut ett ransomware, Wasted Locker, på alla system via WMI kommandon och PsExec.  Hela attacken var mycket sofistikerad och professionellt genomförd.

I april 2021, ett halvår efter attacken, fick det drabbade företaget sedan ett meddelande från en nationell cyberförvarsorganisation. I meddelandet varnades företaget för att deras nätverk kunde ha komprometterats av en cyberspionagegrupp som kallades SilverFish, och hänvisades till en rapport som publicerats av cybersäkerhetsföretaget Prodaft.

Vi på Truesec kunde tillsammans med kunden konstatera att det angrepp som hänvisades till i rapporten var samma angrepp som Truesec redan undersökt, och som ledde till ransomware-angreppet med Wasted Locker.

Har rysk underrättelsetjänst ägnat sig åt ransomwareattacker?

Truesecs Threat Intelligence kunde konstatera att det med stor sannolikhet var samma aktör som genomfört ransomware-attacken i oktober, som även genomfört den cyberspionagekampanj som beskrivs i Prodafts rapport.

Den stora frågan är nu att försöka avgöra om angreppet genomförts av en cyberbrottsgrupp som även ägnade sig åt spionage, eller om det var en rysk underrättelsetjänst som också ägnade sig åt ransomwareattacker.

Enligt flera källor så är aktören bakom Wasted Locker en ökänd rysk cyberbrottsgrupp som kallar sig själva ”Evil Corp”. Vi på Truesec har tidigare rapporterat om hur ryska cyberbrottslingar kan agera förhållandevis ostört i Ryssland så länge de följer vissa oskrivna regler; som till exempel att inte angripa företag i Ryssland.

Summering

Vi kan inte säkert avgöra om aktören verkligen är just ”Evil Corp” eller om det är någon annan rysk aktör som kombinerar ransomware-attacker med spioneri. Mycket talar dock för att det rör sig om en grupp som utför spioneri åt den ryska staten och som finansierar denna aktivitet med ransomware-attacker.

Vår bedömning är att om den ursprungliga attacken, som utreddes av Truesec Threat Intelligence, hade skett på en organisation med högre underrättelsevärde, hade man aldrig använt ransomware utan fortsatt inhämta underrättelser. Den brottsliga verksamheten kan därigenom också tjäna som en rökridå för att dölja spioneriet.

Av Mattias Wåhlén, Threat Intelligence Lead, Truesec.

Relaterade Artiklar

Vi använder cookies och andra identifierare för att förbättra din upplevelse. Detta gör att vi kan säkerställa din åtkomst, analysera ditt besök på vår webbplats. Det hjälper oss att erbjuda dig ett personligt anpassat innehåll och smidig åtkomst till användbar information. Klicka på ”Jag godkänner” för att acceptera vår användning av cookies och andra identifierare eller klicka ”Mer information” för att justera dina val. Jag Godkänner Mer Information >>

-
00:00
00:00
Update Required Flash plugin
-
00:00
00:00