Multi-License Discount Quote
Banta sa Database Ransomware LeakNet Ransomware

LeakNet Ransomware

Sa pamamagitan ng Mezo sa Ransomware, Advanced Persistent Threat (APT)
Isalin To:

Ang operasyon ng ransomware na LeakNet ay nagpakilala ng isang kapansin-pansing ebolusyon sa mga taktika ng panghihimasok sa pamamagitan ng paggamit ng ClickFix social engineering technique bilang pangunahing entry vector nito. Minamanipula ng pamamaraang ito ang mga gumagamit upang magsagawa ng mga malisyosong utos sa ilalim ng pagkukunwari ng paglutas ng mga gawa-gawang error sa system. Hindi tulad ng mga tradisyunal na paraan ng pag-access, tulad ng pagbili ng mga ninakaw na kredensyal mula sa mga initial access broker, direktang sinasamantala ng taktikang ito ang tiwala at nakagawiang pag-uugali ng gumagamit.

Ang mga nakompromiso ngunit lehitimong website ay ginagamit upang maghatid ng mga pekeng prompt sa pag-verify ng CAPTCHA. Ang mga prompt na ito ay nagtuturo sa mga user na kopyahin at isagawa ang isang malisyosong utos na msiexec.exe sa pamamagitan ng dialog na Windows Run. Dahil ginagaya ng interaksyon ang pang-araw-araw na aktibidad ng system, ang pag-atake ay tila pangkaraniwan at naiiwasan ang agarang pagdulot ng hinala. Ang malawak at oportunistang estratehiyang ito ay nagbibigay-daan sa pag-target sa maraming industriya nang walang diskriminasyon.

Pagbabagong Istratehiko: Kalayaan mula sa mga Initial Access Broker

Ang paglipat ng LeakNet sa ClickFix ay kumakatawan sa isang kalkuladong pagbabago sa operasyon. Sa pamamagitan ng pag-aalis ng pag-asa sa mga third-party credential supplier, binabawasan ng grupo ang parehong gastos at pagkaantala na nauugnay sa pagkuha ng access. Ang kalayaang ito ay nag-aalis ng isang pangunahing bottleneck, na nagpapahintulot sa mga kampanya na mas mabilis at mas mahusay na lumawak.

Bukod pa rito, ang paggamit ng nakompromisong lehitimong imprastraktura sa halip na mga sistemang kontrolado ng attacker ay lubhang nakakabawas sa mga natutukoy na tagapagpahiwatig ng network. Ginagawa nitong hindi gaanong epektibo ang mga tradisyonal na depensang nakabatay sa perimeter, dahil ang malisyosong aktibidad ay maayos na humahalo sa pinagkakatiwalaang trapiko.

Pagpapatupad na Walang File: Deno-Based Loader sa Aksyon

Ang isang natatanging teknikal na katangian ng mga pag-atakeng ito ay ang pag-deploy ng isang staged Command-and-Control loader na binuo sa Deno JavaScript runtime. Ang loader na ito ay direktang nagpapatupad ng Base64-encoded JavaScript sa memorya, na iniiwasan ang mga disk write at binabawasan ang mga forensic artifact.

Kapag aktibo na, ang loader ay gumaganap ng ilang mahahalagang tungkulin:

  • I-profile ang nakompromisong sistema upang mangalap ng impormasyon sa kapaligiran
  • Nagtatatag ng komunikasyon sa isang panlabas na server upang makuha ang mga pangalawang payload
  • Pinapanatili ang pagtitiyaga sa pamamagitan ng isang mekanismo ng botohan na patuloy na kumukuha at nagpapatupad ng karagdagang code

Pinahuhusay ng modelong ito ng pagpapatupad na walang file ang stealth at pinapakomplikado ang mga pagsisikap sa pag-detect gamit ang mga tradisyunal na tool sa seguridad.

Consistent Post-Exploitation Playbook

Sa kabila ng mga pagkakaiba-iba sa unang pag-access, ang mga operasyon ng LeakNet ay nagsasama-sama sa isang nahuhulaang daloy ng trabaho pagkatapos ng kompromiso. Ang pagkakapare-parehong ito ay nagbibigay sa mga tagapagtanggol ng mahahalagang pagkakataon para sa pagtuklas at pagkagambala bago ang pag-deploy ng ransomware.

Ang karaniwang pagkakasunod-sunod ng pag-atake ay kinabibilangan ng:

  • Pag-side-load ng DLL upang isagawa ang mga malisyosong library na inihahatid ng loader
  • Paggalaw sa gilid gamit ang mga kagamitan tulad ng PsExec upang mapalawak ang access sa network
  • Pagmamasid sa kredensyal sa pamamagitan ng cmd.exe /c klist upang matukoy ang mga aktibong sesyon ng pagpapatotoo
  • Pag-stage ng datos at pag-exfiltration sa pamamagitan ng mga S3 bucket, tinatakpan ang aktibidad bilang lehitimong trapiko sa cloud
  • Pangwakas na yugto ng pag-encrypt upang i-deploy ang ransomware

Ang paggamit ng mga katutubong tool ng Windows at mga karaniwang serbisyo sa cloud ay nagbibigay-daan sa mga malisyosong aksyon na maihalo sa normal na pag-uugali ng system at network.

Profile ng Banta: Mga Pinagmulan at Saklaw ng Pag-target

Umusbong noong Nobyembre 2024, ang LeakNet ay unang nagposisyon sa sarili bilang isang 'digital watchdog,' na nagtataguyod ng mga temang transparency at kalayaan sa internet. Gayunpaman, ang naobserbahang aktibidad ay nagpapakita ng mas malawak at mas agresibong saklaw ng operasyon, kabilang ang mga pag-atake laban sa mga organisasyong pang-industriya.

Ang walang pinipiling estratehiya sa pag-target ng kampanya, kasama ang mga nasusukat na pamamaraan ng impeksyon, ay nagbibigay-diin sa layunin nitong i-maximize ang abot sa halip na tumuon sa mga partikular na sektor.

Mga Implikasyon sa Depensa: Ang Prediktabilidad bilang Isang Bentahe

Bagama't umunlad na ang mga pamamaraan ng pagpasok ng LeakNet, ang pag-asa nito sa isang paulit-ulit na kadena ng pagsasamantala ay nagdudulot ng isang kritikal na kahinaan. Ang bawat yugto ng pag-atake, mula sa pagpapatupad hanggang sa paggalaw sa gilid at pag-exfiltration ng datos, ay sumusunod sa mga nakikilalang pattern ng pag-uugali.

Ang pagkakapare-parehong ito ay nagbibigay-daan sa mga tagapagtanggol na:

  • Tuklasin ang maanomalyang paggamit ng mga lehitimong tool ng system
  • Subaybayan ang mga hindi pangkaraniwang pattern ng pagpapatupad sa loob ng memorya
  • Tukuyin ang mga kahina-hinalang interaksyon sa cloud storage
  • Pigilan ang pag-usad ng pag-atake bago mangyari ang pag-encrypt

Malinaw ang mahalagang punto: bagama't maaaring mag-iba ang mga unang pamamaraan ng pag-access, nananatiling matatag ang pinagbabatayang plano ng operasyon, na nag-aalok ng maraming pagkakataon para sa maagang pagtuklas at pagtugon.


Trending

Pinaka Nanood

Naglo-load...