NetzwerksicherheitForscher haben das Innenleben einer Ransomware-Operation aufgedeckt, die von Mikhail Pavlovich Matveev geleitet wurde, einem russischen Staatsbürger, der Anfang des Jahres von der US-Regierung angeklagt wurde, Tausende von Angriffen auf der ganzen Welt gestartet zu haben.
Matveev, der jetzt in St. Petersburg wohnt und auch als Wazawaka, m1x, Boriselcin, Uhodiransomwar, Orange und waza bekannt ist, soll sich mindestens seit Juni 2020, als er verhaftet wurde, im Land aufhalten. LockBitundBabuk und Hive-Ransomware-Varianten spielten eine Schlüsselrolle bei der Entwicklung und Verbreitung des
SchweizNetzwerksicherheitFirmen PRODAFT In einer umfassenden Analyse, die The Hacker News zur Verfügung gestellt wurde, heißt es, dass "Wazawaka und seine Teammitglieder ihre Gier nach Lösegeldzahlungen demonstrierten und bei ihren Cyber-Operationen eine große Missachtung ethischer Werte an den Tag legten."
"Ihr Einsatz von Taktiken wie die Einschüchterung durch die Weitergabe sensibler Dateien, unehrliches Verhalten und das Beharren auf der Einbehaltung von Dateien, selbst wenn das Opfer der Lösegeldzahlung nachgekommen ist, verdeutlicht das moralische Vakuum, das im Verhalten herkömmlicher Ransomware-Banden vorherrscht."
Die Ergebnisse von PRODAFT wurden durch das Abfangen von Tausenden von Kommunikationsprotokollen zwischen verschiedenen Bedrohungsakteuren zwischen April und Dezember 2023 in Verbindung mit verschiedenen Ransomware-Varianten zusammengestellt.
Berichten zufolge leitete Matawveev ein Team von sechs Penetrationstestern - 777, bobr.kurwa, krbtgt, shokoladniy_zayac, WhyNot und dushnila - um den Angriff auszuführen. Die Organisation hat eine flache Organisationsstruktur, die eine bessere Zusammenarbeit zwischen ihren Mitgliedern fördert.
PRODAFT sagt: "Jedes Mitglied bringt je nach Bedarf Ressourcen und Fachwissen ein und beweist eine bemerkenswerte Flexibilität und Anpassungsfähigkeit an neue Szenarien und Situationen."
Matveev ist nicht nur ein Mitglied von Conti, LockBit, Hive, Monti, Trigona und NoEscape, sondern hat bis Anfang 2022 auch eine leitende Funktion in der Babuk-Ransomware-Bande übernommen, während er eine so genannte "komplexe Beziehung" mit einem anderen Teilnehmer namens Dudka teilt, der möglicherweise der Entwickler hinter Babuk und Monti ist. "Dudka ist möglicherweise der Entwickler hinter Babuk und Monti.
Der Angriff von Matveev und seinem Team erfolgte mit Hilfe des Zoominfo im Gesang antworten ZensiertundShodan im Gesang antworten FOFA Dienste wie der VPN-Dienst sammeln Informationen über ihre Opfer, nutzen bekannte Sicherheitsschwachstellen und Proxys für den Erstzugang aus, um Fuß zu fassen. Darüber hinaus verwenden sie eine Mischung aus maßgeschneiderten und handelsüblichen Tools, um VPN-Konten zu knacken, Privilegien zu erhöhen und ihre Angriffskampagnen zu optimieren.
Das Unternehmen erklärte: "Nach dem ersten Zugang haben Wazawaka und sein Team in erster Linie die PowerShell Befehle, um ihr bevorzugtes Tool für die Fernüberwachung und -verwaltung (RMM) auszuführen. Besonders hervorzuheben ist, dass MeshCentral ein einzigartiges Toolkit für das Team ist und oft als bevorzugte Open-Source-Software für eine Vielzahl von Operationen verwendet wird.
Die Analysen von PRODAFT deckten außerdem Verbindungen zwischen Matveev und Evgeniy Mikhailovich Bogachev auf, einem russischen Staatsbürger, der mit dem 2014 zerschlagenen GameOver Zeus-Botnet und der Entwicklung von Evil Corp in Verbindung gebracht wird.
Die Babuk-Ransomware wurde 2021 in PayloadBIN umbenannt, wobei letztere mit Evil Corp in Verbindung gebracht wurde, um die im Dezember 2019 von den USA verhängten Sanktionen zu umgehen.
PRODAFT sagt: "Diese technologische Verbindung, gepaart mit der bekannten Beziehung zwischen Wazawaka und dem berüchtigten Cyberkriminellen Bogachev, lässt auf eine tiefere Verbindung zwischen den Operationen von Wazawaka, Bogachev und Evil Corp. schließen."
原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/de/how-a-russian-hacker-built-a-ransomware-empire.html
