Il gruppo criminale informatico di MosesStaff è entrato nella lotta con il “ransomware” con una svolta: non sono interessati ai soldi del ricatto. Check Point Research (CPR) ha dichiarato il 15 novembre che il gruppo ha iniziato a prendere di mira le aziende in Israele nel settembre di quest’anno, unendosi alle operazioni di Pay2Key e BlackShadow.
L’obiettivo di queste operazioni era infettare i computer delle vittime con ransomware, infliggere danni e rubare informazioni importanti che sarebbero state utilizzate in future divulgazioni pubbliche. Autori di ransomware come Maze, Conti e LockBit, solo per citarne alcuni, hanno utilizzato il Dark Web per creare siti Web specializzati per la fuga di dati come mezzo di doppia estorsione.
Durante un attacco, questi gruppi acquisiranno informazioni aziendali vitali prima che i sistemi della vittima vengano crittografati. Se si rifiutano di pagare, queste organizzazioni rischiano che i loro dati vengano divulgati o venduti al pubblico.
MosesStaff, invece, è aperto sulle sue intenzioni: gli assalti sono politici. Non c’è richiesta di riscatto; l’obiettivo primario è rubare informazioni e creare danni. Secondo i ricercatori, l’accesso iniziale si ottiene attraverso falle nei sistemi pubblici, come i problemi di Microsoft Exchange Server che sono stati corretti all’inizio di quest’anno.
MosesStaff quindi rilascia una webshell per eseguire più comandi dopo che l’accesso è stato conquistato. I dati dal sistema di destinazione vengono quindi esfiltrati, inclusi nomi di dominio, nomi di macchine e credenziali, per creare una versione su misura del virus PyDCrypt. Questo payload si occupa principalmente di infettare workstation suscettibili aggiuntive su una rete e di garantire che il payload di crittografia primario, DCSrv, sia effettivamente eseguito. DCSrv è incentrato sull’utilità open source DiskCryptor.
Viene eseguito anche il bootloader DiskCryptor per impedire che la macchina venga avviata senza una password. Secondo i ricercatori, se i dati EDR correttamente archiviati sono accessibili, potrebbe essere possibile invertire il processo di crittografia esistente nelle giuste circostanze.
A causa dei registri del tempo di sviluppo e dei suggerimenti di codifica in un programma utilizzato, OICe.exe, inviato a VirusTotal dalla Palestina molto prima dell’inizio della campagna, CPR pensa che potrebbero essere localizzati fisicamente in Palestina.