Zloglasna grupa cyber kriminala poznata kao Scattered Spider je u svoj arsenal uključila viruse ransomwarea kao što su RansomHub i Qilin, otkrio je Microsoft.
Raspršeni pauk je oznaka koja se daje hakeru koji je poznat po svojim sofisticiranim šemama društvenog inženjeringa za probijanje ciljeva i uspostavljanje postojanosti za naknadnu eksploataciju i krađu podataka. Takođe ima istoriju ciljanja VMWare ESXi servera i postavljanja BlackCat ransomwarea.
Dijeli se preklapanja s klasterima aktivnosti koje prati šira zajednica cyber sigurnosti pod nazivima Gold Harvest, 0ktapus, Octo Tempest i UNC3944. Prošlog mjeseca objavljeno je da je ključni član grupe uhapšen u Španiji.
RansomHub, koji je stigao na scenu ranije ovog februara, procijenjen je kao rebrendiranje drugog virusa ransomwarea pod nazivom Knight, prema analizi Symanteca u vlasništvu Broadcoma prošlog mjeseca.
„RansomHub je ransomware-as-a-service (RaaS) korisni teret koji koristi sve više i više hakera, uključujući one koji su u prošlosti koristili druge (ponekad neispravne) ransomware sadržaje (kao što je BlackCat), što ga čini jednom od najrasprostranjenijih porodica ransomwarea danas”, rekao je Microsoft.
Proizvođač Windows-a je takođe primetio da je RansomHub raspoređen kao deo postkompromisne aktivnosti od strane Manatee Tempest (aka DEV-0243, Evil Corp ili Indrik Spider) nakon početnog pristupa koji je dobio Mustard Tempest (aka DEV-0206 ili Purple Vallhund) putem FakeUpdates (aka Socgholish) infekcije.
Ovdje je vrijedno spomenuti da je Mustard Tempest broker za početni pristup koji je u prošlosti koristio FakeUpdates u napadima koji su doveli do radnji koje su ličile na ponašanje prije ransomwarea povezanog sa Evil Corp. Ovi upadi su takođe bili značajni po činjenici da su FakeUpdates isporučeni putem postojećih infekcija Raspberry Robin-a.
Razvoj dolazi usred pojave svježih porodica ransomware-a kao što su FakePenny (pripisuje se Moonstone Sleet), Fog (distribuira Storm-0844, koji je također propagirao Akira) i ShadowRoot, od kojih je posljednja uočena kako cilja na turske kompanije koristeći lažni PDF fakture.
“Kako prijetnja ransomware-a nastavlja da raste, širi se i razvija, korisnicima i organizacijama se savjetuje da slijede najbolje sigurnosne prakse, posebno higijenu akredativa, princip najmanje privilegija i nulto povjerenje,” kažu iz Microsofta.
Izvor:The Hacker News