Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Ransomware LeakNet Ransomware

LeakNet Ransomware

Nga MezoRansomware, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Operacioni ransomware LeakNet ka sjellë një evolucion të dukshëm në taktikat e ndërhyrjes duke përdorur teknikën e inxhinierisë sociale ClickFix si vektorin e tij kryesor të hyrjes. Kjo qasje i manipulon përdoruesit që të ekzekutojnë komanda keqdashëse nën maskën e zgjidhjes së gabimeve të fabrikuara të sistemit. Ndryshe nga metodat tradicionale të aksesit, të tilla si blerja e kredencialeve të vjedhura nga ndërmjetësit fillestarë të aksesit, kjo taktikë shfrytëzon drejtpërdrejt besimin e përdoruesit dhe sjelljen rutinë.

Faqet e internetit të kompromentuara, por përndryshe legjitime, përdoren si armë për të ofruar kërkesa të rreme verifikimi CAPTCHA. Këto kërkesa i udhëzojnë përdoruesit të kopjojnë dhe ekzekutojnë një komandë dashakeqe msiexec.exe nëpërmjet dialogut Run të Windows. Meqenëse bashkëveprimi imiton aktivitetin e përditshëm të sistemit, sulmi duket rutinë dhe shmang ngritjen e dyshimeve të menjëhershme. Kjo strategji e gjerë dhe oportuniste mundëson synimin në shumë industri pa diskriminim.

Ndryshimi Strategjik: Pavarësia nga Ndërmjetësit e Qasjes Fillestare

Kalimi i LeakNet në ClickFix përfaqëson një ndryshim të llogaritur operativ. Duke eliminuar varësinë nga furnizuesit e kredencialeve të palëve të treta, grupi zvogëlon si koston ashtu edhe vonesën që lidhen me marrjen e aksesit. Kjo pavarësi eliminon një pengesë kyçe, duke lejuar që fushatat të zgjerohen më shpejt dhe me efikasitet.

Për më tepër, përdorimi i infrastrukturës legjitime të kompromentuar në vend të sistemeve të kontrolluara nga sulmuesit zvogëlon ndjeshëm treguesit e dallueshëm të rrjetit. Kjo i bën mbrojtjet tradicionale të bazuara në perimetër më pak efektive, pasi aktiviteti keqdashës përzihet pa probleme me trafikun e besuar.

Ekzekutim pa skedarë: Ngarkuesi i bazuar në Deno në veprim

Një tipar teknik përcaktues i këtyre sulmeve është vendosja e një ngarkuesi të organizuar në faza të Command-and-Control të ndërtuar në kohën e ekzekutimit të Deno JavaScript. Ky ngarkues ekzekuton JavaScript të koduar në Base64 direkt në memorie, duke shmangur shkrimet në disk dhe duke minimizuar artefaktet mjeko-ligjore.

Pasi aktivizohet, ngarkuesi kryen disa funksione kritike:

  • Profilon sistemin e kompromentuar për të mbledhur inteligjencë mjedisore
  • Vendos komunikim me një server të jashtëm për të marrë ngarkesa dytësore
  • Ruan qëndrueshmërinë përmes një mekanizmi sondazhi që vazhdimisht merr dhe ekzekuton kod shtesë.

Ky model ekzekutimi pa skedar rrit fshehtësinë dhe ndërlikon përpjekjet e zbulimit nga mjetet tradicionale të sigurisë.

Manual i qëndrueshëm pas shfrytëzimit

Pavarësisht ndryshimeve në aksesin fillestar, operacionet e LeakNet konvergojnë në një rrjedhë pune të parashikueshme pas kompromentimit. Kjo qëndrueshmëri u ofron mbrojtësve mundësi të vlefshme për zbulimin dhe ndërprerjen para vendosjes së ransomware-it.

Sekuenca tipike e sulmit përfshin:

  • Ngarkimi anësor i DLL për të ekzekutuar bibliotekat keqdashëse të ofruara nga ngarkuesi
  • Lëvizja anësore duke përdorur mjete të tilla si PsExec për të zgjeruar aksesin në rrjet
  • Zbulimi i kredencialeve nëpërmjet cmd.exe /c klist për të identifikuar seancat aktive të vërtetimit
  • Stadifikimi dhe nxjerrja e të dhënave përmes kovave S3, duke maskuar aktivitetin si trafik legjitim në cloud.
  • Faza përfundimtare e enkriptimit për të vendosur ransomware

Përdorimi i mjeteve vendase të Windows dhe shërbimeve të zakonshme të cloud lejon që veprimet keqdashëse të përzihen me sjelljen normale të sistemit dhe rrjetit.

Profili i Kërcënimit: Origjina dhe Shtrirja e Synimit

Duke u shfaqur në nëntor të vitit 2024, LeakNet fillimisht e pozicionoi veten si një 'mbikëqyrës dixhital', duke promovuar temat e transparencës dhe lirisë së internetit. Megjithatë, aktiviteti i vëzhguar zbulon një fushëveprim më të gjerë dhe më agresiv operativ, duke përfshirë sulme kundër organizatave industriale.

Strategjia e shënjestrimit pa dallim e fushatës, e kombinuar me metodat e shkallëzueshme të infeksionit, nënvizon qëllimin e saj për të maksimizuar shtrirjen në vend që të përqendrohet në sektorë specifikë.

Implikimet mbrojtëse: Parashikueshmëria si një avantazh

Edhe pse teknikat e hyrjes së LeakNet kanë evoluar, mbështetja e tij në një zinxhir shfrytëzimi të përsëritshëm sjell një dobësi kritike. Çdo fazë e sulmit, nga ekzekutimi te lëvizja anësore dhe nxjerrja e të dhënave, ndjek modele sjelljeje të identifikueshme.

Kjo qëndrueshmëri i mundëson mbrojtësve të:

  • Zbuloni përdorimin jonormal të mjeteve të sistemit legjitim
  • Monitoroni modelet e pazakonta të ekzekutimit në memorie
  • Identifikoni ndërveprimet e dyshimta të ruajtjes së të dhënave në cloud
  • Ndërpritni përparimin e sulmit përpara se të ndodhë enkriptimi

Përfundimi kryesor është i qartë: ndërsa metodat fillestare të aksesit mund të ndryshojnë, plani themelor operativ mbetet i qëndrueshëm, duke ofruar mundësi të shumta për zbulim dhe reagim të hershëm.


Në trend

Email-e keqdashëse për përmirësimin e dhomës së hotelit

Spam, Malware
Të qëndrosh vigjilent gjatë trajtimit të email-eve të papritura është thelbësore në peizazhin e kërcënimeve të sotme. Kriminelët kibernetikë shpesh i maskojnë mesazhet keqdashëse si korrespondencë legjitime për të manipuluar marrësit që të ndërmarrin veprime të dëmshme. Email-et e ashtuquajtura "Përmirësim i Dhomës së Hotelit" janë një shembull i qartë i kësaj taktike. Këto mesazhe nuk...

Përditësoni Firmware-in e Ledger-it tuaj me Mashtrim...

Fishing, Spam
Të qëndrosh i kujdesshëm kur merr email-e të papritura është thelbësore në peizazhin e kërcënimeve të sotme, veçanërisht kur përfshihen asetet dixhitale. Kriminelët kibernetikë shpesh imitojnë markat e besuara për të krijuar një ndjenjë të rreme urgjence dhe legjitimiteti. Email-et 'Përditësoni Firmware-in e Ledger-it tuaj' janë pjesë e një skeme të tillë dhe nuk shoqërohen me asnjë kompani,...

Më e shikuara

Po ngarkohet...