Tjänar cyberkriminella ligors aktiviteter som en rökridå för att dölja ryskt spioneri? I månader har Truesecs Threat Intelligence-team bevakat aktiviteterna hos ryska ransomware-ligor och rysk underrättelseverksamhet. Mycket talar för att ryska staten står bakom cyberattackerna.
I oktober 2020 genomfördes en ransomware attack mot ett stort företag. Den initiala attackvektorn var en så kallad drive-by-download: en legitim webbsida som hackats så att besökare på webbsidan uppmanades att uppdatera sin webbläsare genom att ladda ner en zip-fil med skadlig kod.
Angriparen påbörjade manuellt arbete inom några minuter efter att den skadliga koden aktiverats, vilket tyder på att man haft kontinuerlig bevakning av kontrollservern, eftersom man inte kunde veta när offret skulle besöka den infekterade webbsidan.
Efter bara några timmar hade angriparen skaffat sig administratörsrättigheter, tagit över nätverket och placerat ut Cobalt Strike på flera platser i systemet. Därefter avtog verksamheten. I nästan fyra veckor gjorde angriparen inget utom att metodiskt rekognoscera nätverket. De sista två veckorna koncentrerades arbetet till att systematiskt kartlägga nätverksresurser för backup och erhålla rättigheter för att kunna förstöra dem.
Till sist placerade aktören ut ett ransomware, Wasted Locker, på alla system via WMI kommandon och PsExec. Hela attacken var mycket sofistikerad och professionellt genomförd.
I april 2021, ett halvår efter attacken, fick det drabbade företaget sedan ett meddelande från en nationell cyberförvarsorganisation. I meddelandet varnades företaget för att deras nätverk kunde ha komprometterats av en cyberspionagegrupp som kallades SilverFish, och hänvisades till en rapport som publicerats av cybersäkerhetsföretaget Prodaft.
Vi på Truesec kunde tillsammans med kunden konstatera att det angrepp som hänvisades till i rapporten var samma angrepp som Truesec redan undersökt, och som ledde till ransomware-angreppet med Wasted Locker.
Truesecs Threat Intelligence kunde konstatera att det med stor sannolikhet var samma aktör som genomfört ransomware-attacken i oktober, som även genomfört den cyberspionagekampanj som beskrivs i Prodafts rapport.
Den stora frågan är nu att försöka avgöra om angreppet genomförts av en cyberbrottsgrupp som även ägnade sig åt spionage, eller om det var en rysk underrättelsetjänst som också ägnade sig åt ransomwareattacker.
Enligt flera källor så är aktören bakom Wasted Locker en ökänd rysk cyberbrottsgrupp som kallar sig själva ”Evil Corp”. Vi på Truesec har tidigare rapporterat om hur ryska cyberbrottslingar kan agera förhållandevis ostört i Ryssland så länge de följer vissa oskrivna regler; som till exempel att inte angripa företag i Ryssland.
Vi kan inte säkert avgöra om aktören verkligen är just ”Evil Corp” eller om det är någon annan rysk aktör som kombinerar ransomware-attacker med spioneri. Mycket talar dock för att det rör sig om en grupp som utför spioneri åt den ryska staten och som finansierar denna aktivitet med ransomware-attacker.
Vår bedömning är att om den ursprungliga attacken, som utreddes av Truesec Threat Intelligence, hade skett på en organisation med högre underrättelsevärde, hade man aldrig använt ransomware utan fortsatt inhämta underrättelser. Den brottsliga verksamheten kan därigenom också tjäna som en rökridå för att dölja spioneriet.
Av Mattias Wåhlén, Threat Intelligence Lead, Truesec.
Truesec Threat Intelligence har publicerat hela analysen med detaljerade händelseförlopp på Truesecs blogg. (på engelska)
Truesec är en stark aktör inom cybersecurity med ett tydligt syfte: Att förhindra dataintrång och skydda data. Gruppen består av cirka 150 medarbetare med bred expertis inom cybersäkerhet och har sedan starten 2005 levererat omfattande lösningar till kunder inom privat och offentlig sektor, både i Sverige och internationellt. För mer information: truesec.com
Powered by Notified