Một chiến dịch ransomware mới nhắm mục tiêu vào lĩnh vực vận tải và hậu cần ở Ukraine và Ba Lan vào ngày 11 tháng 10 với một trọng tải chưa biết trước đó có tên là Uy tín.
"Hoạt động này chia sẻ nạn nhân với hoạt động liên kết với nhà nước Nga gần đây, đặc biệt là trên các khu vực địa lý và quốc gia bị ảnh hưởng, đồng thời trùng lặp với các nạn nhân trước đây của phần mềm độc hại FoxBlade (còn được gọi là HermeticWiper)," Trung tâm Tình báo Mối đe dọa của Microsoft (MSTIC) cho biết.
Gã khổng lồ công nghệ nhận xét các cuộc xâm nhập xảy ra trong vòng một giờ với nhau trên tất cả các nạn nhân, quy kết các trường hợp nhiễm trùng cho một cụm không tên có tên là DEV-0960. Nó không tiết lộ quy mô của các cuộc tấn công, nhưng tuyên bố họ đang thông báo cho tất cả các khách hàng bị ảnh hưởng.
Chiến dịch này cũng được cho là khác biệt với các cuộc tấn công phá hoại gần đây khác liên quan đến việc sử dụng HermeticWiper và CaddyWiper, sau này được phát động bởi một bộ tải phần mềm độc hại có tên ArguePatch (hay còn gọi là AprilAxe).
Phương pháp truy cập ban đầu vẫn chưa được biết, với Microsoft lưu ý rằng tác nhân đe dọa đã có được quyền truy cập đặc quyền vào môi trường bị xâm phạm để triển khai ransomware bằng ba phương pháp khác nhau.
Trong một diễn biến liên quan, Fortinet FortiGuard Labs đã kết thúc chuỗi tấn công nhiều giai đoạn tận dụng một tài liệu Microsoft Excel được vũ khí hóa, giả mạo như một bảng tính để tạo tiền lương cho quân nhân Ukraine để bỏ Cobalt Strike Beacon.
"Bối cảnh mối đe dọa ở Ukraine tiếp tục phát triển, và cần gạt nước và các cuộc tấn công phá hoại là một chủ đề nhất quán," Redmond lưu ý. "Các cuộc tấn công ransomware và gạt nước dựa vào nhiều điểm yếu bảo mật tương tự để thành công."
Phát hiện này được đưa ra trong bối cảnh bùng nổ các chủng ransomware tương đối mới đang thu hút được sức hút đối với bối cảnh mối đe dọa, bao gồm bisamware, Chile Locker, Royal và Ransom Cartel, trong vài tháng qua.
Ransom Cartel, xuất hiện vào giữa tháng 12 năm 2021, cũng đáng chú ý vì đã chia sẻ sự chồng chéo kỹ thuật với ransomware REvil, đã đóng cửa cửa hàng vào tháng 10 năm 2021 sau khi cơ quan thực thi pháp luật giám sát chặt chẽ vào hoạt động của nó sau một loạt các cuộc tấn công cấp cao vào JBS và Kaseya.
Người ta nghi ngờ rằng "Các nhà khai thác Ransom Cartel đã có quyền truy cập vào các phiên bản trước của mã nguồn ransomware REvil", Palo Alto Networks Unit 42 quan sát vào ngày 14 tháng 10, nói rằng "có mối quan hệ giữa các nhóm tại một số thời điểm, mặc dù nó có thể không phải là gần đây."
REvil, đầu tháng Giêng này, đã phải chịu thêm thất bại khi chính quyền Nga bắt giữ nhiều thành viên, nhưng có những dấu hiệu cho thấy băng đảng tội phạm mạng khét tiếng có thể đã tổ chức một cuộc trở lại dưới một số hình thức.
Công ty an ninh mạng Trellix, vào cuối tháng 9, cũng tiết lộ cách một "nguồn tin nội bộ bất mãn" từ nhóm đã chia sẻ chi tiết về Chiến thuật, Kỹ thuật và Thủ tục (TTP) của đối thủ, cho thấy một cái nhìn sâu sắc quan trọng về "các mối quan hệ và hoạt động bên trong của REvil và các thành viên của nó. "
Không chỉ REvil trở lại radar ransomware. HP Wolf Security tuần trước cho biết họ đã cô lập một chiến dịch Magniber đã được tìm thấy nhắm mục tiêu đến người dùng gia đình Windows bằng các bản cập nhật bảo mật giả mạo sử dụng tệp JavaScript để phát triển phần mềm độc hại mã hóa tệp.
"Những kẻ tấn công đã sử dụng các kỹ thuật thông minh để trốn tránh các cơ chế bảo vệ và phát hiện", nhà phân tích phần mềm độc hại Patrick Schläpfer chỉ ra. "Hầu hết các chuỗi lây nhiễm là 'không có tệp', có nghĩa là phần mềm độc hại chỉ nằm trong bộ nhớ, làm giảm khả năng nó bị phát hiện."