Hacker gunakan MBR-ONI Ransomware sebagai ditargetkan Wiper

Computer Security News

ONI ransomware ditemukan di Jepang, awal tahun ini. Menurut peneliti keamanan, ancaman adalah sub-spesies GlobeImposter ransomware yang, “Ketika itu menginfeksi atasnya, mengenkripsi file, menetapkan ekstensi .oni untuk nama file, dan meminta pembayaran untuk mendekripsi itu”

Para ahli dari Cybereason mengklaim bahwa ONI ransomware kurang, dan lain “wiper untuk menutupi operasi hacking rumit.”

Dalam laporan terbaru mereka, para peneliti telah diikat menggunakan ONI canggih serangan pada industri Jepang. Penyerangan berlangsung antara tiga dan sembilan bulan, dan hanya mencapai puncaknya dalam penggunaan ransomware. Ancaman ini, akibatnya, digunakan untuk menyembunyikan tujuan dan efek hack.

Cybereason penyelidikan mengungkapkan ransomware bootkit baru, yang disebut MBR-ONI, yang memodifikasi MBR dan mengenkripsi partisi disk.

“Kami menyimpulkan bahwa ONI dan MBR-ONI berasal dari aktor ancaman yang sama karena mereka digunakan sehubungan di sama target serangan dan mereka tebusan catatan berisi alamat email yang sama,” keadaan ahli.

Nama ONI berasal dari ekstensi file dari file yang dienkripsi: ‘.oni’ yang berarti ‘setan’ dalam bahasa Jepang. Istilah ini juga muncul dalam alamat email kontak yang digunakan dalam catatan tebusan: “Oninoy0ru” yang dapat diterjemahkan sebagai Jepang untuk ‘Malam setan’.

Sementara menganalisis kasus serangan, Cybereason melihat modus operandi. Ini dimulai dengan sukses serangan phishing tombak yang menyebabkan pengenalan Ammyy Admin tikus, diikuti dengan sebuah periode pengintaian dan mentauliahkan pencurian, dan gerakan lateral “akhirnya mengorbankan aset kritis, termasuk (pengontrol domain DC), untuk mendapatkan kontrol penuh atas jaringan.”

Tahap akhir dari serangan adalah penggunaan log wiper dan ONI didistribusikan melalui nakal kebijakan grup (GPO), di Cybereason apa yang menggambarkan sebagai ‘kebijakan bumi hangus’. GPO akan menyalin batch script dari server DC, menyeka bersih log peristiwa Windows’ untuk menutupi para penyerang trek dan menghindari deteksi berbasis log.

Batch file digunakan perintah wevtutil bersama-sama dengan bendera “cl”, kliring peristiwa dari lebih dari 460 log peristiwa tertentu. ONI juga akan disalin dari DC dan dieksekusi, enkripsi array besar file.

MBR-ONI ransomware lebih sering digunakan melawan hanya segelintir Endpoint. Ini adalah aset yang sangat penting seperti server iklan dan file server. Terlepas dari kenyataan bahwa ONI dan MBR-ONI secara teknis dapat didekripsikan (dan akibatnya dapat diklasifikasikan sebagai ransomware daripada wiper), “Kami menduga,” para ahli mengatakan, “bahwa MBR-ONI digunakan sebagai wiper untuk menyembunyikan operasi yang benar motif.”

Para peneliti juga menduga bahwa EternalBlue digunakan dengan alat-alat lain untuk menyebarkan melalui jaringan. Terlepas dari kenyataan bahwa log menyeka dan korupsi data yang disebabkan oleh serangan membuat ini sulit untuk dikukuhkan, tercatat EternalBlue patch tidak diinstal pada mesin dikompromikan, dan SMBv1 rentan masih diaktifkan.

ONI ransomware saham kode dengan GlobeImposter, dan menunjukkan jejak bahasa Rusia. “Sementara jenis bukti bisa telah ditinggalkan tidak sengaja oleh para penyerang sebagai umpan,” ahli negara, “dapat juga menyarankan bahwa serangan yang dilakukan oleh Rusia, atau setidaknya, bahwa ransomware ditulis oleh Rusia speaker.”

MBR-ONI ransomware menggunakan pesan tebusan dan ID yang sama untuk semua terinfeksi mesin. Sebuah versi modifikasi dari alat DiskCryptor open source yang digunakan untuk enkripsi. Meskipun ini bisa dekripsi jika penyerang memberikan kunci yang tepat, “kami menduga bahwa para penyerang tidak pernah dimaksudkan untuk menyediakan pemulihan untuk mesin dienkripsi. Sebaliknya, program ini dimaksudkan untuk digunakan sebagai wiper untuk menutupi jejak kaki para penyerang dan menyembunyikan motif serangan itu.”

Menurut para ahli, tidak mungkin bahwa keuntungan finansial adalah motivasi untuk ONI serangan di Jepang. Para peneliti juga mencatat bahwa ada semakin banyak laporan tentang ransomware digunakan sebagai wiper oleh cybercriminals dan negara di bagian lain dunia.


Leave a Reply

Your email address will not be published. Required fields are marked *