Symantec chi tiết Noberus, người thừa kế ransomware tấn công các công ty năng lượng Mỹ

Nhóm Threat Hunter của công ty an ninh mạng Symantec đã công bố chi tiết về các chiến thuật, công cụ và quy trình (TTP) trong cuộc tấn công Noberus ransomware tràn lan trong những tháng gần đây.

Threat Hunter tin rằng Noberus là người thừa kế của gia đình ransomware Darkside và BlackMatter. Darkside là một phần mềm độc hại đã được sử dụng trong một cuộc tấn công vào tháng 5 năm 2021 nhằm vào gã khổng lồ năng lượng Colonial Pipeline của Mỹ.

tháng 4 vừa qua Cục Điều tra Liên bang (FBI) đã đưa ra thông báo yêu cầu cung cấp thêm thông tin về Noberus sau khoảng thời gian từ tháng 11 năm 2021 đến tháng 3 năm 2022, Noberus liên quan đến hơn 60 tổ chức.

Symantec nói rằng mối nguy hiểm của Noberus là nó được xây dựng bằng ngôn ngữ Rust, mà người sáng tạo ra nó là Coreid tuyên bố rằng nó có thể đăng nhập các tệp trên nhiều hệ điều hành, bao gồm Windows, EXSI, Debian, ReadyNAS và Synology.

Coreid cũng nói rằng người dùng Noberus sẽ không thể tiết lộ địa chỉ IP thực của máy chủ. Ngoài ra còn có một hệ thống liên lạc giữa kẻ tấn công và nạn nhân được mã hóa ở mức độ mà những người khác không thể chặn và đọc được.

Coreid đã cập nhật Noberus thường xuyên kể từ khi ra mắt vào tháng 11 năm 2021, trong đó bao gồm việc bổ sung các tính năng Plus, bao gồm việc bổ sung hệ thống DDoS (tấn công mạng làm quá tải lưu lượng truy cập internet). Gọi hoặc liên hệ thông tin liên hệ của nạn nhân để người dùng phần mềm độc hại có thể liên hệ trực tiếp với nạn nhân. Nó cũng cung cấp các dịch vụ NTDS và bạo lực Kerberos miễn phí.

Nhóm Threat Hunter gọi Coreid là một trong những nhà phát triển ransomware nguy hiểm nhất và tích cực nhất hiện nay.