Kiristysohjelmia käyttävät venäläisryhmät hankkivat kiinalaisen kyberrikostyökalun

LEHDISTÖTIEDOTE  |  15.3.2023

WithSecuren raportti kuvaa SILKLOADER-työkalun liikkumista Kiinasta Venäjälle ja tuo esille uhkatoimijoiden välisen yhteistyön seurauksia.

Helsinki – 15.3.2023: Kyberrikollisuuden alalla uhkatoimijat voivat jakaa keskenään rikosten toteuttamisessa käytettäviä menetelmiä, mikä kasvattaa uhkien määrää ja lisää uhkatoimijoiden kyvykkyyksiä. WithSecure™:n (aiemmin F-Secure yritystietoturva) tuore raportti havainnollistaa tätä toimintatapaa kuvaamalla SILKLOADER-kyberhyökkäystyökalun siirtymistä kiinalaisilta kyberrikollisilta venäläisille kiristysohjelmia käyttäville rikollisjoukoille.

WithSecuren tutkijat havaitsivat SILKLOADERin ensimmäistä kertaa, kun sitä käytettiin Ranskassa sosiaalihuollon organisaatioon kohdistetussa hyökkäyksessä. Raportin mukaan työkalua on käytetty hyökkäystarkoituksessa vähintään alkuvuodesta 2022 alkaen.

Ennen kesää 2022 työkalua käyttivät ainoastaan kiinalaiset kyberrikolliset, joiden tekemät hyökkäykset kohdistuivat Itä-Aasiaan, lähinnä Hongkongiin ja Kiinaan. SILKLOADERin käyttö kuitenkin loppui kokonaan heinäkuussa.

Seuraavan kerran SILKLOADER havaittiin syyskuussa, jolloin sitä käytettiin erilaisissa hyökkäyksissä, jotka kohdistuivat eri kohteisiin useissa eri maissa, mukaan lukien Taiwan, Brasilia ja Ranska.

WithSecuren tutkijat päättelivät, että SILKLOADER oli siirtynyt venäläisen kyberrikosekosysteemin käsiin. Todennäköisintä on, että kiinalaiset kyberrikolliset myivät työkalun venäläisrikollisille.

”Uskomme, että nykyään SILKLOADERia jaetaan Venäjän kyberrikosekosysteemin sisällä Packer-as-a-Service-ohjelman kautta valmiina latausohjelmana kiristysohjelmia käyttäville ryhmille tai mahdollisesti Cobalt Strike/Infrastructure-as-a-Service-palvelua tarjoavien ryhmien välityksellä luotetuille rikoskumppaneille. Tavallisesti havaitsemme työkalun aktiivisten tunkeutumisten aikana kiristysohjelmahyökkäyksiltä vaikuttavien hyökkäysten alkuvaiheessa”, kertoo WithSecure™ Intelligencen tutkija Mohammad Kazem Hassan Nejad. ”Useimmat rikoskumppaneista vaikuttavat kuuluneen CONTI-ryhmään tai olleen tiiviissä yhteistyössä CONTI-ryhmän, sen jäsenten ja ryhmän oletetun lakkauttamisen jälkeen ilmestyneiden rikollisryhmien kanssa.”

SILKLOADER on latausohjelmaksi (loader) kutsuttu haittaohjelma ja se hyödyntää DLL sideloading -menetelmää avatakseen kohdelaitteissa Cobalt Strike -takaportteja VLC-mediasoittimen avulla. Näiden takaporttien ansiosta hyökkääjät voivat jatkossa käyttää virustartunnan saaneita laitteita milloin tahansa.

Hassan Nejadin mukaan latausohjelma kehitettiin piilottamaan Cobalt Strike -takaportit, jotta ne pystyvät välttämään uhrin laitteen suojausmekanismit.

”Cobalt Strike -takaportit ovat yleisesti tunnettuja ja hyvin suojatut laitteet tunnistavat ne lähes varmuudella. Hyökkääjät pyrkivät kuitenkin välttämään suojausmekanismit tekemällä tiedoston sisällöstä entistä monimutkaisemman ja avaamalla takaportin VLC-mediasoittimen kaltaisen tunnetun sovelluksen kautta sideloading-menetelmää hyödyntäen”, sanoo Hassan Nejad.

Taistelu kyberrikospalveluita vastaan

Eri uhkatoimijat voivat ostaa latausohjelman palveluna muilta rikollisilta. WithSecuren Intelligence-yksikön johtaja Paolo Palumbon mukaan tämä alleviivaa, miten haastavaa on puolustautua kyberrikollisten toisilleen jakamia työkaluja vastaan.

”Hyökkääjät hyödyntävät kyberrikollisten verkostoa hankkiakseen uusia kyvykkyyksiä ja teknologioita, jotta he voivat mukauttaa toimintaansa nopeasti ohittaakseen kohteidensa puolustusmekanismit. Tästä syystä meidän on vaikea yhdistää hyökkääjien käyttämät resurssit tiettyyn ryhmään tai toimintatapaan. Toisaalta tällainen infrastruktuurin jakaminen tarjoaa meille mahdollisuuden luoda strategioita näiden jaettujen resurssien varalle, jolloin voimme puolustautua samanaikaisesti useita eri ryhmiä vastaan”, Palumbo sanoo.

WithSecure™ Elements- ja WithSecure™ Countercept Managed Detection and Response -ratkaisut sisältävät useita ominaisuuksia SILKLOADERin ja siihen liittyvän toiminnan havaitsemiseksi. Lisätietoa näistä ratkaisuista on saatavilla osoitteessa https://www.withsecure.com/fi/solutions.

Englanninkielinen yhteenveto SILKLOADERista, mukaan lukien vaarantumisindikaattorit, on saatavilla osoitteessa https://labs.withsecure.com/publications/silkloader.

Median yhteyshenkilö
Inari Anttila
+358438240090

WithSecure™ lyhyesti

WithSecure™ on kyberturvallisuuden luotettava kumppani. Yritykset, IT-palveluntarjoajat, suurimmat rahoituslaitokset, teollisuusvalmistajat ja tuhannet viestintä- ja teknologiayritykset luottavat meihin tuloksellisessa kyberturvallisuuden tekemisessä, joka mahdollistaa turvallisen liiketoiminnan. Tekoälypohjainen tuoteajattelu suojaamisessa varmistaa päätelaitteiden sekä pilvipalveluiden turvallisuuden. Asiantuntijamme käyttävät apuna älykkäitä uhkien tunnistus- ja vastaustyökalujamme kyberhyökkäyksiin vastaamisessa ja uhkien ennakoinnissa. Konsulttimme tekevät asiantuntijatyötä suuryritysten ja yrityskentän edelläkävijöiden kanssa rakentaakseen yhdessä yhteiskunnan kyberresilienssiä. Yli 30 vuoden kokemus tietoturvasta ja teknologiasta on liiketoimintamme ydin, ja olemme rakentaneet portfoliomme kasvamaan joustavasti yhdessä kumppaneidemme kanssa.

WithSecure™ aiemmin F-Secure Yritystietoturva, on perustettu vuonna 1988 — NASDAQ OMX Helsinki.