Malware e Stati Nazione : Come Capire che ci sono I Servizi Segreti Dietro Ad Un Portale per Massaggi Ed Ad Un Ristorante

_χρόνος διαβασματός : [ 4 ] minutes

 

Viscido.

Bleeping Computer:

Un ransomware che prende di mira un’azienda israeliana ha portato i ricercatori a tracciare una parte del pagamento del riscatto a un sito web che promuove massaggi sensuali.

L’attacco è stato condotto da un’operazione ransomware più recente nota come Ever101 che ha compromesso una farm di computer israeliana e ha proceduto a crittografare i suoi dispositivi.

In un nuovo rapporto delle società di sicurezza informatica israeliane Profero e Security Joes, che hanno eseguito la risposta agli incidenti sull’attacco, si ritiene che Ever101 sia una variante del ransomware Everbe o Paymen45.

Durante la crittografia dei file, il ransomware aggiungerà l’estensione .ever101 e rilascerà una richiesta di riscatto denominata !=READMY=!.txt in ogni cartella del computer.


Esempio Ever101 nota di riscatto

Durante l’indagine su una delle macchine infette, i ricercatori hanno trovato una cartella “Musica” che conteneva vari strumenti utilizzati durante l’attacco, fornendo informazioni sulle tattiche, le tecniche e le procedure dell’autore della minaccia.

“Durante la nostra indagine sulle macchine infette, ci siamo imbattuti in quello che sembrava essere un tesoro di informazioni memorizzate nella cartella Music. Consisteva nel binario del ransomware stesso, insieme a molti altri file, alcuni crittografati, altri no, che riteniamo gli attori delle minacce erano soliti raccogliere informazioni e propagarsi attraverso la rete”, spiega il rapporto di Profero e Security Joe.

Gli strumenti noti utilizzati dalla banda Ever101 includono:

xDedicLogCleaner – Pulisce tutti i registri eventi di Windows, i registri di sistema e la cartella temporanea.
PH64.exe – Versione a 64 bit del programma Process Hacker.
Cobalt Strike: gli autori delle minacce hanno implementato cobalt Strike per fornire l’accesso remoto alle macchine ed eseguire la sorveglianza sulla rete. In questo particolare attacco, il beacon Cobalt Strike è stato incorporato in un file WEXTRACT.exe con una firma Microsoft scaduta.
SystemBC – SystemBC è stato utilizzato per eseguire il proxy del traffico Cobalt Strike tramite il proxy SOCKS5 per evitare il rilevamento.

Sono stati trovati anche altri strumenti, ma sono stati crittografati dal ransomware. Sulla base dei nomi e di altre caratteristiche, i ricercatori ritengono che la banda del ransomware abbia utilizzato anche i seguenti strumenti:

Scanner di rete SoftPerfect: uno scanner di rete IPv4/IPv6.
shadow.bat – Probabilmente un file batch utilizzato per cancellare le copie shadow del volume dal dispositivo Windows.
NetworkShare_pre2.exe – Enumera una rete Windows per cartelle e unità condivise.

È interessante notare che alcuni dei file condivisi dagli aggressori, come WinRar, erano localizzati in arabo.

WinRar con localizzazione araba

Il CEO di Profero, Omri Moyal, ha dichiarato a BleepingComputer di ritenere che la localizzazione in arabo di alcuni di questi strumenti sia una “falsa bandiera”.

Seguendo i soldi per un massaggio sensuale

Di particolare interesse è ciò che i ricercatori hanno scoperto dopo aver utilizzato CipherTrace per tracciare il pagamento del riscatto mentre scorreva attraverso diversi portafogli bitcoin.

Durante la traccia del pagamento, hanno scoperto che una piccola parte, 0,01378880 BTC o circa $590, è stata inviata a un “Tip Jar” sul sito RubRatings.

RubRatings è un sito Web che consente ai “fornitori di massaggi e massaggi per il corpo” negli Stati Uniti di pubblicizzare i propri servizi, molti dei quali offrono massaggi sensuali e mostrano immagini a malapena nude.

Ogni profilo di massaggiatrice include un pulsante Tip Jar che consente ai clienti di lasciare una mancia bitcoin per il loro recente massaggio.

RubRatings Bitcoin Tip Jar Tip

I ricercatori ritengono che parte del pagamento del riscatto sia andato a un agente di Ever101 negli Stati Uniti, che ha quindi utilizzato le monete per dare la mancia a una massaggiatrice o, più probabilmente, utilizzare il sito come un modo per riciclare il pagamento del riscatto.

“La seconda possibilità è che il provider del sito sia stato utilizzato come un altro metodo per offuscare il movimento bitcoin”, spiegano i ricercatori. “Potrebbe essere che il provider che possiede il portafoglio bitcoin in questione stesse lavorando con gli attori della minaccia, ma più probabilmente si tratta di un account falso creato per consentire i trasferimenti di denaro”.

“Il bitcoin nel portafoglio collegato a RubRatings ha ricevuto il pagamento intorno alle 15:48 UTC e ha lasciato il portafoglio pochi minuti dopo, alle 15:51 UTC.”

Poiché il bitcoin sta diventando più facilmente rintracciabile e persino recuperato dalle forze dell’ordine, le operazioni di ransomware sono alla ricerca di nuovi approcci per riciclare i loro guadagni illeciti.

È probabile che gli autori delle minacce abbiano creato un account falso su RubRatings e stessero utilizzando la funzione Tip Jar come un modo per riciclare il riscatto facendolo sembrare una mancia a una massaggiatrice.

Gli attori della minaccia sapevano che inviando quei bitcoin questo sarebbe stato rintracciato.

Come supporre che siano gli Iraniani dietro questa banda di ransomware?

Il giornalista non ha indagato a fondo su Rubratings.com. Sappiamo che sono partiti due anni fa utilizzando un provider tedesco.

Ma l’azienda, che scherma il whois di dominio con un attore da privacy shield, copre solo città di interesse negli Stati Uniti.

Oltre questo sappiamo della localizzazione araba. Più che iraniani a me sembrano turchi.

Non sono certo ma non mi sembra un lavoro da iraniani.

Anni fa in una ricerca estensiva sulle connesisoni di Brenton Tarrant in Pakistan scoprii che c’era una connessione con un alto ufficiale dei servizi segreti pakistani, morto qualche giorno prima dell’arresto del primo. Collegai questo al Mossad, per dettagli ed informazioni che non sto ad elencare, ero sicuro che quell’ufficiale lavorava per il Mossad.
Rivelato questo notai che qualcuno si interessò alla notizia. Un ristorante viennese, N.S.W., che chiameremo Nino.

Nino ha un elegante ristorante ebraico a Vienna, una persona estremamente fine ed encomiabile. Ci siamo persino scambiati ricette culinarie. Dovreste assaggiare il nostro salmone con olive nere e patatine fritte, a scelta senape di Digione, o maionese tedesca. Comunque ritengo che Nino e il suo ristorante siano anche una base del Mossad.

Lui non lo sapeva, ma per me era come tornare a casa….

Israele : I Miei Anni come PsyOp alla Corte del Mossad

Leave a Reply