Cybersecurity-onderzoekers hebben licht geworpen op de interne werking van de ransomware-operatie onder leiding van Michail Pavlovich Matveev, een Rus die eerder dit jaar door de Amerikaanse regering werd aangeklaagd vanwege zijn vermeende rol bij het lanceren van duizenden aanvallen over de hele wereld.
Matveev, woonachtig in Sint-Petersburg en bekend onder de aliassen Wazawaka, m1x, Boriselcin, Uhodiransomwar, Orange en waza, zou sindsdien een cruciale rol hebben gespeeld in de ontwikkeling en inzet van LockBit-, Babuk- en Hive-ransomwarevarianten. tenminste juni 2020.
“Wazawaka en zijn teamleden vertonen op opvallende wijze een onverzadigbare hebzucht naar losgeld, wat blijk geeft van een aanzienlijke minachting voor ethische waarden in hun cyberoperaties”, zei het Zwitserse cyberbeveiligingsbedrijf PRODAFT in een uitgebreide analyse gedeeld met The Hacker News.
“Het gebruik van tactieken die intimidatie met zich meebrengen door middel van bedreigingen om gevoelige bestanden te lekken, zich schuldig maken aan oneerlijke praktijken en volharden in het behouden van bestanden, zelfs nadat het slachtoffer het losgeld heeft betaald, illustreren de ethische leegte die heerst in de praktijken van traditionele ransomware-groepen.”
De bevindingen van PRODAFT zijn het resultaat van gegevens die tussen april en december 2023 zijn verzameld door duizenden communicatielogboeken te onderscheppen tussen verschillende bedreigingsactoren die verbonden zijn met verschillende ransomwarevarianten.
Matawveev zou leiding geven aan een team van zes penetratietesters – 777, bobr.kurwa, krbtgt, shokoladniy_zayac, WhyNot en dushnila – om de aanvallen uit te voeren. De groep heeft een vlakke hiërarchie, waardoor een betere samenwerking tussen de leden wordt bevorderd.
“Elk individu draagt indien nodig middelen en expertise bij, wat blijk geeft van een opmerkelijk niveau van flexibiliteit bij het aanpassen aan nieuwe scenario’s en situaties”, aldus PRODAFT.
Matveev werkte niet alleen als een partner voor Conti, LockBit, Hive, Monti, Trigona en NoEscape, maar had tot begin 2022 ook een managementrol bij de Babuk-ransomwaregroep, terwijl hij deelde wat wordt beschreven als een “complexe relatie” met een andere acteur genaamd Dudka, die waarschijnlijk de ontwikkelaar is achter Babuk en Monti.
Aanvallen van Matveev en zijn team omvatten het gebruik van Zoominfo en diensten als Censys, Shodan en FOFA om informatie over de slachtoffers te verzamelen, waarbij wordt vertrouwd op bekende beveiligingsfouten en initiële toegangsmakelaars om voet aan de grond te krijgen, naast het gebruik van een mix van aangepaste en kant-en-klare tools om VPN-accounts bruut te forceren, rechten te escaleren en hun campagnes te stroomlijnen.
“Na het verkrijgen van de initiële toegang gebruiken Wazawaka en zijn team voornamelijk PowerShell-opdrachten om hun favoriete Remote Monitoring and Management (RMM)-tool uit te voeren”, aldus het bedrijf. “Meestal onderscheidt zich MeshCentral als de unieke toolkit van het team, die vaak wordt gebruikt als hun favoriete open-sourcesoftware voor verschillende operaties.”
De analyse van PRODAFT bracht verder verbanden aan het licht tussen Matveev en Evgeniy Mikhailovich Bogachev, een Russisch staatsburger die betrokken was bij de ontwikkeling van het GameOver Zeus-botnet, dat in 2014 werd ontmanteld, en Evil Corp.
Het is vermeldenswaard dat de Babuk-ransomware-activiteiten in 2021 omgedoopt werden tot PayloadBIN, waarbij laatstgenoemde verbonden was met Evil Corp in een kennelijke poging om de sancties te omzeilen die de VS in december 2019 tegen het bedrijf hadden opgelegd.
“Deze technische associatie, gekoppeld aan de bekende relatie tussen Wazawaka en de beruchte cybercrimineel Bogachev, suggereert diepere verbindingen tussen Wazawaka, Bogachev en de activiteiten van Evil Corp”, aldus PRODAFT.
