Een opkomende dreigingsacteur, bekend als Crypte geesten is in verband gebracht met een reeks cyberaanvallen gericht op Russische bedrijven en overheidsinstanties met ransomware, met als tweeledig doel het verstoren van de bedrijfsvoering en financieel gewin.
“De onderzochte groep beschikt over een toolkit met hulpprogramma’s als Mimikatz, XenAllPasswordPro, PingCastle, Localtonet, resocks, AnyDesk, PsExec en andere”, aldus Kaspersky. “Als laatste payload gebruikte de groep de bekende ransomware LockBit 3.0 en Babuk.”
Slachtoffers van de kwaadaardige aanvallen omvatten overheidsinstanties, maar ook mijnbouw-, energie-, financiële en detailhandelsbedrijven in Rusland.
De Russische cyberbeveiligingsleverancier zei dat het in slechts twee gevallen de initiële inbraakvector kon lokaliseren, waarbij de bedreigingsactoren de inloggegevens van een aannemer gebruikten om via VPN verbinding te maken met de interne systemen.
De VPN-verbindingen zouden afkomstig zijn van IP-adressen die verband houden met het netwerk van een Russische hostingprovider en het netwerk van een aannemer, wat duidt op een poging om onder de radar te vliegen door vertrouwde relaties te bewapenen. Er wordt aangenomen dat de netwerken van de aannemers worden geschonden door middel van VPN-diensten of niet-gepatchte beveiligingsfouten.
De initiële toegangsfase wordt gevolgd door het gebruik van NSSM- en Localtonet-hulpprogramma’s om toegang op afstand te behouden, waarbij vervolgexploitatie wordt vergemakkelijkt door tools zoals:
- XenAllPasswordPro om authenticatiegegevens te verzamelen
- CobInt-achterdeur
- Mimikatz om de inloggegevens van de slachtoffers te achterhalen
- dumper.ps1 om Kerberos-tickets uit de LSA-cache te dumpen
- MiniDump om inloggegevens uit het geheugen van lsass.exe te extraheren
- cmd.exe om inloggegevens te kopiëren die zijn opgeslagen in Google Chrome en Microsoft Edge-browsers
- PingCastle voor netwerkverkenning
- PAExec om opdrachten op afstand uit te voeren
- AnyDesk en resocks SOCKS5-proxy voor externe toegang
De aanvallen eindigen met het versleutelen van systeemgegevens met behulp van openbaar beschikbare versies van LockBit 3.0 voor Windows en Babuk voor Linux/ESXi, terwijl ook stappen worden ondernomen om de gegevens in de Prullenbak te versleutelen om herstel te belemmeren.
“De aanvallers laten een losgeldbriefje achter met een link met hun ID in de Session-berichtenservice voor toekomstig contact”, aldus Kaspersky. “Ze zouden via SSH verbinding maken met de ESXi-server, Babuk uploaden en het coderingsproces voor de bestanden op de virtuele machines initiëren.”
De keuze van Crypt Ghouls voor tools en infrastructuur bij deze aanvallen overlapt met soortgelijke campagnes die de afgelopen maanden zijn uitgevoerd door andere groepen die zich op Rusland richtten, waaronder MorLock, BlackJack, Twelve, Shedding Zmiy (ook bekend als ExCobalt)
“Cybercriminelen maken misbruik van gecompromitteerde inloggegevens, vaak van onderaannemers, en van populaire open source-tools”, aldus het bedrijf. “De gedeelde toolkit die wordt gebruikt bij aanvallen op Rusland maakt het een uitdaging om de specifieke betrokken hacktivistische groepen te identificeren.”
“Dit suggereert dat de huidige actoren niet alleen kennis delen, maar ook hun toolkits. Dit alles maakt het alleen maar moeilijker om specifieke kwaadaardige actoren te identificeren achter de golf van aanvallen gericht op Russische organisaties.”
