Hakeri iskorištavaju brisače i ransomware kao alate za rušenje organizacija jer ovi alati mogu uzrokovati velike poremećaje i štetu u velikom broju.
Brisači mogu obrisati podatke na nepovratan način, tako da ransomware zaključa podatke i zatraži otkupninu, a sve to može dovesti do ogromnih finansijskih gubitaka i zastoja u operacijama.
Istraživači sajber sigurnosti u kompaniji Check Point Research nedavno su otkrili da Void Manticore aktivno napada organizacije destruktivnim napadima koristeći Viper i ransomware.
Void Manticore napadačke organizacije
Od oktobra 2023. iranska grupa pod nazivom Void Manticore izvela je destruktivne napade koristeći brisače i ransomware protiv izraelskih organizacija.
Procurili su podaci pod likom ‘Karma’ i koristili prilagođeni brisač pod nazivom ‘BiBi’. Void Manticore je sarađivao sa drugom grupom, “Scarred Manticore”, razmjenjujući žrtve.
Njihova taktika je bila osnovna, ali je imala koristi od sofisticiranog pristupa Scarred Manticore meta visoke vrijednosti.
Hakerska grupa ‘Karma’ nastala je iz sukoba na Bliskom istoku, koristeći ‘BiBi’ brisač i anticionističku ličnost koja se suprotstavljala izraelskom premijeru Netanyahuu.
Iako je u početku viđena kao tipični haktivisti , Karma je stekla ime kroz kampanju objavljivanja upada u preko 40 izraelskih entiteta i njihovog bacanja podataka.
Atribucija je otkrila visok stepen preklapanja između curenja Karme i žrtava iranske grupe Scarred Manticore.
Digitalni forenzičari su otkrili još jednu osobu nakon pristupa, Void Manticore, kroz proces “handoff-a” koji uključuje web shells i zajedničke akreditive koji su omogućili Void Manticore-u da postavi BiBi na prethodne žrtve Scarred Manticore-a, rekao je Check Point .
Ono što je primjetno kod Void Manticore je njihova upotreba jednostavnih i direktnih metoda napada, koje bi se mogle nazvati “brzima i prljavim”. Oni najčešće u početku sabotiraju servere povezane na internet koristeći web shells kao što je „Karma Shell“.
Oni koriste RDP za validaciju akreditiva administratora domene, ispuštanje shella za tuneliranje (kao što je reGeorge) i informacije za izviđanje.
Oni kreiraju vlastite brisače ili da oštete neke specifične tipove datoteka radi ciljanog efekta ili unište cijelu particijsku tablicu, posljedično čineći sve podatke na disku nedostupnima.
Oni su to namjerno uradili jer je u skladu s njihovim ciljem izvođenja brzih destruktivnih napada brisača koji slijede hend-off pristup od drugih grupa.
U nastavku smo spomenuli sve korištene brisače:-
- Cl Wiper
- Partition Wipers
- BiBi Wiper
Osim svojih prilagođenih brisača, Void Manticore koristi normalne metode kao što su “Windows Explorer” za brisanje datoteka i Sysinternals SDelete za sigurno brisanje ili oštećenje particija pomoću uslužnog programa za formatiranje.
Oni koriste različite identifikacije poput “domovinske pravde” i “karme” kako bi napravili prilagođenu komunikaciju koja pretvara političku konfrontaciju u oružje uništenja.
Njihov bliski savez sa naprednom grupom Scarred Manticore koja povremeno dijele dokumentirane primopredaje žrtava čini domet Void Manticore još širim i upečatljivijim, što ih čini vrlo opasnim iranskim hakerom.
Izvor: CyberSecurityNews
