Gli aggressori avrebbero voluto fuorviare le indagini.
Un team di ricercatori nel campo della società di sicurezza informatica eSentire ha raccontato i dettagli del misterioso attacco informatico, durante il quale ha utilizzato sofisticati metodi di installazione relativamente semplici estorsori del programma.
La campagna dannosa è stata scoperta quando i criminali informatici hanno tentato un attacco ransomware contro un’organizzazione di test di sicurezza del prodotto senza nome. L’attacco è stato rilevato e fermato prima che avesse successo, ma ha fornito ai ricercatori di eSentire informazioni sufficienti per analizzare le tattiche, i metodi e le procedure utilizzate.
I metodi utilizzati in questa campagna di ransomware erano simili a quelli del gruppo di criminali informatici cinese APT27 (noto anche come Emissary Panda). Secondo gli esperti, i criminali informatici potrebbero aver caricato il semplice ransomware Hello nell’ambiente IT della vittima e quindi distrarre gli esperti di sicurezza delle informazioni dai loro veri motivi: lo spionaggio informatico.
Gli hacker hanno sfruttato le vulnerabilità di Microsoft SharePoint e dello strumento di accesso remoto China Chopper, che funge da backdoor sui sistemi compromessi. La web shell China Chopper viene spesso utilizzata da gruppi e aggressori cinesi APT.
I criminali hanno anche utilizzato Mimikatz per rubare password, aumentare i privilegi, provare a disabilitare le soluzioni di sicurezza ed eseguire comandi PowerShell utilizzando tecniche di mascheramento, mascherandosi da soluzione Kaspersky Anti-Virus legittima.
Usando le tattiche dei gruppi di criminali informatici, gli aggressori avrebbero voluto fuorviare le indagini.
Hello ransomware crittografa i file con l’estensione .hello e lascia una richiesta di riscatto. Hello ransomware è abbastanza semplice per gli standard del ransomware più famoso del 2021, in quanto il gruppo non minaccia le vittime con violazioni dei dati e non dispone di un sito di violazione dei dati per pubblicare informazioni rubate. Inoltre, il modello di business ransomware-as-a-service non funziona come molte delle varianti di ransomware più diffuse oggi.
