Jelentősen bővítették a Noberus zsarolóvírus fegyvertárát. A Symantec Threat Hunting Team szerint így a kiberbűnözők – felhasználva az ExMatter adatszűrő malware és az Eamfo adatszivárogtató eszközök képességeit – a Veeam backup SQL adatbázisából is képesek kinyerni hitelesítési adatokat.

Tíz éve tartják rettegésben a szervezeteket

A fejlesztések mögött egy Coreid néven emlegetett bűnözői csoport áll, amely RaaS (ransomware-as-a-service) szolgáltatásokra szakosodott. Az intenzív fejlesztés a kutató szerint azt jelenti, hogy a Noberusszal hosszabb távon is komoly támadófegyverként kell számolniuk a szervezeteknek.

A Coreid a jelenleg működő egyik legveszélyesebb és legaktívabb zsarolóprogram-fejlesztő csapat, vélik a Symantec munkatársai. A csapat idén jubilálhat: tíz éve bukkantak a nyomára a biztonsági szakemberek. A Coreid első jelentős akciója az ún. Carbanak-ügy volt. Bankokból loptak összesen legalább egymilliárd (!) dollárt. 2018-ban ugyan letartóztatták a banda néhány tagját, de akiket nem sikerült elkapni, gyorsan irányt váltottak, és újra felépítették kétes üzletüket. (Egyes kutatók szerint közvetve a Colonial Pipeline elleni támadásban is lehetett szerepük.)

"Alapterméküket", a Rust nyelven írt Noberus zsarolóprogramot tavaly novemberben észlelték először. (A Rust a kiberbűnözők között is egyre népszerűbb lesz keresztplatformos jellege miatt.) Számos operációs rendszeren és környezetben képes fájlokat titkosítani. A Coreid úgy reklámozza, hogy kiválóan működik Windows, VMware ESXi, Debian Linux környezetben, valamint ReadyNAS és Synology tárolórendszereken. Emellett folyamatosan fejlesztik, hogy megőrizze kiemelkedő hatékonyságát. És valóban hatékony: az FBI áprilisban kiadott egy figyelmeztetést, amely szerint világszerte legalább 60 szervezetet támadott meg a Noberus (ezek észlelt, de sikertelen támadások), de az áldozatok száma valószínűsíthetően ennek többszöröse.

Zsarolás és adatlopás

Az ExMattert megjelenése az arzenálban arra utal, a Coreid csapatnak egyre fontosabb módszere az adatlopás és zsarolás kombinálása. Az adatszűrő eszközt szintén alaposan továbbfejlesztették az elmúlt évben, hogy még hatékonyabban támogassa az ellopni próbált fájltípusok kiszivárogtatását. Javultak a rejtőzködési képességei is.

Hasonló  fejlesztéseket kapott az Eamfo adatszivárogtató eszköz is, amely a lényegi munkát végzi: csatlakozik a megtámadott szervezet Veeam szoftverének SQL-adatbázisához, és egy SQL-lekérdezéssel ellopja a hitelesítő adatokat. Ezeknek a hitelesítő adatoknak a birtokában aztán a támadók már könnyedén juthatnak magasabb szintű jogosultságokhoz. Így bármilyen ponton is jutnak be a megtámadott hálózatba, onnan bármely rendszerrészhez, és ezzel bármely adathoz hozzá tudnak férni.

És a végére egy slusszpoén: azokban a Noberus-támadásokban, melyekben az Eamfo is szerepet kap, a támadók rendszerint használnak egy teljesen legális eszközt, a GMER-t, ami például innen tölthető le. Ez az öregecske rootkit-szkenner (a BleepingComputer adatbázisában találhatót 2018-ban frissítették utoljára) a zsarolóvírus-csoportok számra kiválóan alkalmas a nyomok eltüntetésére.