Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Ransomware LeakNet-ransomware

LeakNet-ransomware

Tegen Mezo in Ransomware, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

De ransomware-operatie LeakNet heeft een opmerkelijke evolutie in inbraaktactieken geïntroduceerd door de ClickFix-social engineeringtechniek als belangrijkste toegangsweg te gebruiken. Deze aanpak manipuleert gebruikers om kwaadaardige commando's uit te voeren onder het mom van het oplossen van verzonnen systeemfouten. In tegenstelling tot traditionele toegangsmethoden, zoals het kopen van gestolen inloggegevens van initial access brokers, maakt deze tactiek direct misbruik van het vertrouwen en het routinegedrag van gebruikers.

Gecompromitteerde, maar verder legitieme websites worden misbruikt om valse CAPTCHA-verificatieprompts te tonen. Deze prompts instrueren gebruikers om een kwaadaardig msiexec.exe-commando te kopiëren en uit te voeren via het Windows Uitvoeren-dialoogvenster. Omdat de interactie alledaagse systeemactiviteiten nabootst, lijkt de aanval routineus en wekt deze niet direct argwaan. Deze brede, opportunistische strategie maakt het mogelijk om zonder onderscheid meerdere sectoren aan te vallen.

Strategische verschuiving: Onafhankelijkheid van Initial Access Brokers

De overstap van LeakNet naar ClickFix is een weloverwogen operationele verschuiving. Door niet langer afhankelijk te zijn van externe leveranciers van inloggegevens, verlaagt de groep zowel de kosten als de wachttijd voor het verkrijgen van toegang. Deze onafhankelijkheid neemt een belangrijk knelpunt weg, waardoor campagnes sneller en efficiënter kunnen worden opgeschaald.

Bovendien vermindert het gebruik van gecompromitteerde legitieme infrastructuur in plaats van door aanvallers gecontroleerde systemen het aantal detecteerbare netwerkindicatoren aanzienlijk. Hierdoor worden traditionele perimeterbeveiligingen minder effectief, omdat kwaadaardige activiteiten naadloos opgaan in het vertrouwde verkeer.

Bestandsloze uitvoering: Deno-gebaseerde loader in actie

Een bepalend technisch kenmerk van deze aanvallen is de inzet van een gefaseerde Command-and-Control-loader, gebouwd op de Deno JavaScript-runtime. Deze loader voert Base64-gecodeerde JavaScript rechtstreeks in het geheugen uit, waardoor schrijven naar de schijf wordt vermeden en forensische sporen tot een minimum worden beperkt.

Eenmaal geactiveerd, voert de lader verschillende cruciale functies uit:

  • Brengt het gecompromitteerde systeem in kaart om informatie over de omgeving te verzamelen.
  • Legt een verbinding tot stand met een externe server om secundaire gegevens op te halen.
  • Zorgt voor persistentie door middel van een pollingmechanisme dat continu aanvullende code ophaalt en uitvoert.

Dit bestandsloze uitvoeringsmodel verbetert de heimelijkheid en bemoeilijkt detectiepogingen door traditionele beveiligingsinstrumenten.

Een consistent draaiboek voor na-exploitatie

Ondanks variaties in de initiële toegang, convergeren de LeakNet-operaties naar een voorspelbaar werkproces na een inbreuk. Deze consistentie biedt verdedigers waardevolle mogelijkheden voor detectie en verstoring vóór de inzet van ransomware.

De typische aanvalssequentie omvat:

  • DLL-sideloading om kwaadaardige bibliotheken uit te voeren die door de loader worden geleverd.
  • Laterale verplaatsing met behulp van tools zoals PsExec om de netwerktoegang uit te breiden.
  • Inloggegevens controleren via cmd.exe /c klist om actieve authenticatiesessies te identificeren
  • Gegevens worden opgeslagen en via S3-buckets geëxfiltreerd, waarbij de activiteit wordt gemaskeerd als legitiem cloudverkeer.
  • Laatste versleutelingsfase voor het verspreiden van ransomware

Het gebruik van standaard Windows-tools en gangbare cloudservices maakt het mogelijk dat kwaadwillige acties opgaan in het normale systeem- en netwerkgedrag.

Dreigingsprofiel: Oorsprong en doelwitbereik

LeakNet, dat in november 2024 opdook, profileerde zich aanvankelijk als een 'digitale waakhond' die thema's als transparantie en internetvrijheid promootte. Waargenomen activiteiten onthullen echter een bredere en agressievere operationele reikwijdte, waaronder aanvallen op industriële organisaties.

De niet-selectieve targetingstrategie van de campagne, in combinatie met schaalbare infectiemethoden, onderstreept de intentie om het bereik te maximaliseren in plaats van zich te richten op specifieke sectoren.

Defensieve implicaties: voorspelbaarheid als voordeel

Hoewel de toegangstechnieken van LeakNet zijn geëvolueerd, introduceert de afhankelijkheid van een herhaalbare exploitatieketen een kritieke zwakte. Elke fase van de aanval, van uitvoering tot laterale verplaatsing en data-exfiltratie, volgt herkenbare gedragspatronen.

Deze consistentie stelt verdedigers in staat om:

  • Detecteer afwijkend gebruik van legitieme systeemtools.
  • Monitor ongebruikelijke uitvoeringspatronen in het geheugen.
  • Identificeer verdachte interacties met cloudopslag.
  • Onderbreek de voortgang van de aanval voordat de versleuteling plaatsvindt.

De belangrijkste conclusie is duidelijk: hoewel de initiële toegangsmethoden kunnen variëren, blijft het onderliggende operationele plan stabiel en biedt het meerdere mogelijkheden voor vroegtijdige detectie en respons.


Trending

Meest bekeken

Bezig met laden...