Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Atacul ransomware cu steag fals MuddyWater

Atacul ransomware cu steag fals MuddyWater

Până în Mezo în Programe malware, Amenințare persistentă avansată (APT)
Tradu in:

Grupul de amenințări MuddyWater, sponsorizat de statul iranian, urmărit și sub pseudonime precum Mango Sandstorm, Seedworm și Static Kitten, a fost asociat cu o campanie ransomware sofisticată pe care anchetatorii o descriu drept o operațiune sub steag fals. Deși intruziunea semăna inițial cu o activitate asociată cu o operațiune convențională de tip Ransomware-as-a-Service (RaaS) care utilizează marca ransomware Chaos, o analiză mai aprofundată a relevat caracteristici compatibile cu un atac cibernetic țintit sponsorizat de stat, deghizat în extorcare motivată financiar.

Operațiunea, identificată la începutul anului 2026, s-a bazat în mare măsură pe ingineria socială prin intermediul Microsoft Teams. Atacatorii au desfășurat sesiuni de interacțiune extrem de interactive cu victimele, utilizând funcționalitatea de partajare a ecranului pentru a colecta acreditări și a manipula procesele de autentificare multi-factor. După obținerea accesului, autorii amenințărilor au abandonat tacticile tradiționale de ransomware, cum ar fi criptarea fișierelor la scară largă, și s-au concentrat în schimb pe furtul de date, persistența ascunsă și accesul pe termen lung la rețea prin intermediul unor utilitare de gestionare la distanță.

Competențe comerciale cibernetice folosite pentru a ascunde operațiunile statului

Cercetătorii cred că această campanie reflectă un efort deliberat al MuddyWater de a ascunde atribuirea prin adoptarea unor instrumente și tehnici asociate în mod obișnuit cu ecosistemele infracționale cibernetice. Grupul a integrat din ce în ce mai mult în operațiunile sale programe malware clandestine disponibile comercial și framework-uri de acces la distanță, inclusiv instrumente precum CastleRAT și Tsundere.

Această tactică se aliniază cu campaniile anterioare MuddyWater care au combinat spionajul și activitățile distructive cu operațiuni de tip ransomware. În 2020, grupul a vizat organizații israeliene importante folosind programul de încărcare PowGoop pentru a implementa o variantă distructivă a ransomware-ului Thanos. În 2023, Microsoft a legat grupul de DEV-1084, un actor asociat cu personajul DarkBit, în timpul unor atacuri deghizate în incidente ransomware. Până la sfârșitul anului 2025, operatori cu legături cu Iranul au fost, de asemenea, suspectați că au folosit ransomware-ul Qilin împotriva unui spital guvernamental israelian.

Cercetătorii în domeniul securității au concluzionat că cea mai recentă campanie a implicat probabil operatori afiliați Iranului care operează prin intermediul infrastructurilor cibernetice consacrate, urmărind în același timp obiective geopolitice mai largi. Utilizarea Qilin și participarea la ecosisteme afiliate ransomware au oferit probabil acoperire operațională, o negare plauzibilă și acces la capacități de atac mature, ajutând în același timp atacatorii să evite monitorizarea defensivă sporită a Israelului.

Chaos RaaS: Un ecosistem de extorcare în creștere

Chaos a apărut la începutul anului 2025 ca o operațiune Ransomware-as-a-Service, cunoscută pentru tacticile agresive de dublă extorcare. Grupul și-a promovat programul de afiliere pe forumuri clandestine despre criminalitatea cibernetică, precum RAMP și RehubCom, și și-a extins rapid raza de acțiune operațională.

Campaniile haotice combină de obicei inundarea de e-mailuri, phishing-ul vocal și atacuri de uzurpare a identității Microsoft Teams, în care actorii amenințători se prezintă drept personal de asistență IT. Victimele sunt manipulate pentru a instala aplicații de acces la distanță, cum ar fi Microsoft Quick Assist, permițând atacatorilor să se stabilească în mediile corporative înainte de a escalada privilegiile, a se deplasa lateral și a implementa payload-uri ransomware.

Grupul a demonstrat, de asemenea, modele de extorcare din ce în ce mai agresive:

  • Dublă extorcare prin furt de date și cereri de răscumpărare
  • Triplă extorcare care implică amenințări cu atacuri de tip denial-of-service distribuit (DDoS)
  • Tactici cvadruple de extorcare care includ amenințări cu contactarea clienților, partenerilor sau concurenților pentru a intensifica presiunea asupra victimelor

Până în martie 2026, Chaos se soldase cu 36 de victime pe platforma sa de scurgeri de informații, majoritatea organizațiilor fiind situate în Statele Unite. Sectoarele construcțiilor, producției și serviciilor pentru afaceri au apărut printre industriile cele mai vizate.

Anatomia intruziunii

În timpul intruziunii investigate, atacatorii au inițiat conversații externe Microsoft Teams cu angajații pentru a câștiga încrederea și a încuraja sesiunile de partajare a ecranului. Conturile de utilizatori compromise au fost apoi utilizate pentru recunoaștere, persistență, mișcare laterală și exfiltrare de date.

În timp ce erau conectați la sistemele victimelor, atacatorii executau comenzi de recunoaștere, accesau fișiere legate de VPN și instruiau utilizatorii să introducă manual datele de autentificare în documentele text create local. În mai multe cazuri, AnyDesk a fost instalat pentru a consolida capacitățile de acces la distanță.

Actorii care au atacat au folosit suplimentar Remote Desktop Protocol (RDP) pentru a prelua un fișier executabil numit „ms_upd.exe” de la adresa serverului extern 172.86.126.208, utilizând utilitarul curl. Odată lansat, malware-ul a inițiat un lanț de infecții în mai multe etape, conceput pentru a implementa componente malițioase suplimentare și a stabili comunicații persistente de comandă și control.

Arsenalul de programe malware din spatele campaniei

Lanțul de infecție a încorporat mai multe componente distincte de malware care au lucrat împreună pentru a menține persistența și a executa comenzi la distanță:

  • „ms_upd.exe” (Stagecomp) a colectat informații despre sistem și a contactat un server de comandă și control pentru a descărca fișiere secundare, inclusiv „game.exe”, „WebView2Loader.dll” și „visualwincomp.txt”.
  • „game.exe” (Darkcomp) a funcționat ca un troian personalizat de acces la distanță, deghizat într-o aplicație Microsoft WebView2 legitimă, bazată pe proiectul oficial WebView2APISample.
  • „WebView2Loader.dll” a servit ca o dependență legitimă necesară pentru funcționalitatea Microsoft Edge WebView2
  • „visualwincomp.txt” conținea date de configurare criptate utilizate de RAT pentru a identifica infrastructura de comandă și control

Odată activ, trojanul de acces la distanță comunica continuu cu serverul său de comenzi la fiecare 60 de secunde, permițând operatorilor să execute scripturi PowerShell, să ruleze comenzi de sistem, să manipuleze fișiere și să genereze sesiuni interactive în linia de comandă.

Dovezi care leagă operațiunea de MuddyWater

Atribuirea către MuddyWater a fost consolidată prin descoperirea unui certificat de semnare a codului asociat cu „Donald Gay”, care a fost folosit pentru a semna eșantionul de malware „ms_upd.exe”. Același certificat fusese anterior asociat cu malware-ul MuddyWater, inclusiv o variantă de descărcare CastleLoader cunoscută sub numele de Fakeset.

Cercetătorii au observat că operațiunea a demonstrat o convergență semnificativă între activitatea de spionaj sponsorizată de stat și metodele operaționale ale infractorilor cibernetici. Integrarea brandingului ransomware, a negocierilor de extorcare și a cadrelor de malware disponibile comercial a complicat eforturile de atribuire și a deviat atenția defensivă către activitățile de răspuns imediat la răscumpărare, mai degrabă decât către mecanismele de persistență pe termen lung stabilite prin instrumente de acces la distanță.

De ce a ieșit în evidență atacul

Unul dintre cele mai neobișnuite aspecte ale campaniei a fost absența aparentă a criptării pe scară largă a fișierelor, în ciuda utilizării artefactelor ransomware Chaos. Această abatere de la comportamentul standard al ransomware-ului sugerează cu tărie că componenta ransomware a funcționat în principal ca camuflaj sau denaturare operațională, mai degrabă decât ca obiectiv principal al misiunii.

Campania evidențiază, de asemenea, o tendință crescândă în rândul actorilor iranieni de a încorpora instrumente de criminalitate cibernetică în operațiuni dirijate de stat. Prin valorificarea infrastructurilor subterane existente și a ecosistemelor de programe malware, grupuri precum MuddyWater obțin o flexibilitate operațională mai mare, reduc costurile interne de dezvoltare și complică semnificativ eforturile de atribuire atât pentru apărători, cât și pentru analiștii de informații.

Trending

Cele mai văzute

Se încarcă...