Cybersecurity-onderzoekers hebben in het wild nog een andere variant van de Phobos-ransomwarefamilie ontdekt, bekend als Faust.
Fortinet FortiGuard Labs, dat de nieuwste versie van de ransomware gedetailleerd heeft beschreven, zegt dat deze wordt verspreid door middel van een infectie die een Microsoft Excel-document (.XLAM) aflevert met daarin een VBA-script.
“De aanvallers gebruikten de Gitea-service om verschillende in Base64 gecodeerde bestanden op te slaan, die elk een kwaadaardig binair bestand bevatten”, zei beveiligingsonderzoeker Cara Lin in een technisch rapport dat vorige week werd gepubliceerd. “Wanneer deze bestanden in het geheugen van een systeem worden geïnjecteerd, initiëren ze een aanval op bestandsversleuteling.”
Faust is de nieuwste toevoeging aan verschillende ransomwarevarianten uit de Phobos-familie, waaronder Eking, Eight, Elbie, Devos en 8Base. Het is vermeldenswaard dat Faust eerder in november 2023 werd gedocumenteerd door Cisco Talos.
Het cyberbeveiligingsbedrijf beschreef de variant als actief sinds 2022 en “richt zich niet op specifieke industrieën of regio’s.”
De aanvalsketen begint met een XLAM-document dat, wanneer het wordt geopend, Base64-gecodeerde gegevens van Gitea downloadt om een onschadelijk XLSX-bestand op te slaan, terwijl het ook heimelijk een uitvoerbaar bestand ophaalt dat zich voordoet als een updater voor de AVG AntiVirus-software (“AVG updater. exe”).
Het binaire bestand functioneert op zijn beurt als een downloader om een ander uitvoerbaar bestand met de naam “SmartScreen Defender Windows.exe” op te halen en te starten om het versleutelingsproces op gang te brengen door een bestandsloze aanval uit te voeren om de kwaadaardige shellcode te implementeren.
“De Faust-variant vertoont het vermogen om persistentie in een omgeving te behouden en creëert meerdere threads voor efficiënte uitvoering”, zei Lin.
De ontwikkeling komt omdat nieuwe ransomware-families zoals Albabat (ook bekend als White Bat), Kasseika, Kuiper, Mimus en NONAME aan populariteit winnen, waarbij de eerstgenoemde een op Rust gebaseerde malware is die wordt verspreid in de vorm van frauduleuze software zoals een nep-Windows 10 digitale activeringstool en een cheatprogramma voor het Counter-Strike 2-spel.
Trellix, dat eerder deze maand de Windows-, Linux- en macOS-versies van Kuiper onderzocht, schreef de op Golang gebaseerde ransomware toe aan een bedreigingsacteur genaamd RobinHood, die er in september 2023 voor het eerst reclame voor maakte op ondergrondse forums.
“Het op gelijktijdigheid gerichte karakter van Golang komt de dreigingsactor hier ten goede, waardoor raceomstandigheden en andere veelvoorkomende problemen bij het omgaan met meerdere threads worden vermeden, wat anders een (bijna) zekerheid zou zijn geweest”, aldus beveiligingsonderzoeker Max Kersten.
“Een andere factor waar de Kuiper-ransomware gebruik van maakt, wat ook een reden is voor de toegenomen populariteit van Golang, zijn de platformonafhankelijke mogelijkheden van de taal om builds te maken voor een verscheidenheid aan platforms. Deze flexibiliteit stelt aanvallers in staat hun code met weinig moeite aan te passen, vooral omdat de Het grootste deel van de codebasis (dat wil zeggen, encryptie-gerelateerde activiteit) is puur Golang en vereist geen herschrijving voor een ander platform.”
NONAME is ook opmerkelijk vanwege het feit dat zijn dataleksite die van de LockBit-groep imiteert, waardoor de mogelijkheid ontstaat dat het een andere LockBit kan zijn of dat het gelekte databases verzamelt die door LockBit worden gedeeld op het officiële lekportaal, onderzoeker Rakesh Krishnan gewezen.
De bevindingen volgen op een rapport van het Franse cyberbeveiligingsbedrijf Intrinsec dat de opkomende 3AM-ransomware (ook wel gespeld als ThreeAM) in verband bracht met de Royal/BlackSuit-ransomware, die op zijn beurt ontstond na de sluiting van het cybercriminaliteitssyndicaat Conti in mei 2022.
De verbanden komen voort uit een ‘aanzienlijke overlap’ in tactieken en communicatiekanalen tussen de 3 AM-ransomware en de ‘gedeelde infrastructuur van de voormalige Conti-Ryuk-TrickBot-nexus’.
Dat is niet alles. Er is opnieuw waargenomen dat ransomware-actoren TeamViewer gebruiken als een initiële toegangsvector om doelomgevingen te doorbreken en te proberen encryptors in te zetten op basis van de LockBit-ransomwarebuilder, die in september 2022 lekte.
“Dreigingsactoren zoeken naar alle beschikbare middelen om toegang te krijgen tot individuele eindpunten om grote schade aan te richten en mogelijk hun bereik verder in de infrastructuur uit te breiden”, aldus cyberbeveiligingsbedrijf Huntress.
Volgens het AhnLab Security Intelligence Center (ASEC) is LockBit 3.0 de afgelopen weken ook verspreid in de vorm van Microsoft Word-bestanden, vermomd als cv’s, gericht op entiteiten in Zuid-Korea.
