ZLoader botnet-kampanj “en vĂ€ckarklocka” om hur ransomware kan utvecklas

ZLoader botnet-kampanj


Medan gemensamma anstrÀngningar frÄn Microsoft och ett antal sÀkerhetsleverantörer har stört en global kampanj som utnyttjade ZLoader-botnÀtet för att distribuera ransomware, tjÀnar de opportunistiska attackerna som en pÄminnelse om att ransomware Àr ett samhÀllsomfattande hot.

Microsofts Digital Crimes Unit sa pĂ„ onsdagen att de nyligen erhĂ„llit ett domstolsbeslut i Georgien som tillĂ„ter det att ta ner 65 domĂ€ner som anvĂ€nds av ZLoader-gruppen. Andra deltagare i anstrĂ€ngningen – som ocksĂ„ anvĂ€nde tekniska medel för att störa ZLoader – inkluderade ESET; Lumens hotintelligensenhet, Black Lotus Labs; och Palo Alto Networks division Unit 42.

Forskare vid Microsoft sa att ZLoader-attackerna till stor del riktade sig mot USA, VĂ€steuropa, Kina och Japan.

Medan ZLoader ursprungligen hade distribuerats som en banktrojan, Ă€r skadlig programvara “anmĂ€rkningsvĂ€rd för sin förmĂ„ga att utvecklas”, sa Microsofts forskare i ett blogginlĂ€gg. Och med den hĂ€r senaste kampanjen har botnĂ€tet utvecklats för att distribuera ransomware-nyttolaster, sa forskarna.

Attackerna verkar ocksÄ ha varit mer opportunistiska Àn mÄnga av de högprofilerade ransomware-attacker som hittills Àr kÀnda, och som ofta har riktats mot specifika organisationer.

“Zloaders affiliates anvĂ€nde olika tekniker för att utöka sina botnĂ€t, som att skicka spam-e-postmeddelanden som innehĂ„ller skadliga dokument eller missbruka Google Ads för att dirigera besökare till skadliga webbplatser som betjĂ€nar skadlig programvara”, sĂ€ger Alexis Dorais-Joncas, sĂ€kerhetsunderrĂ€ttelseteam pĂ„ ESET, i ett e-postmeddelande .

Tillsammans med missbrukade Google-annonser anvÀndes Àven e-postmeddelanden om COVID-19 (med skadliga Microsoft Word-bilagor) och falska fakturor som innehöll skadliga XLS-makron i ZLoader-kampanjen, enligt ESET-forskare.

“Affiliates kan sedan besluta att distribuera ytterligare skadlig programvara till de infekterade systemen under deras kontroll, sĂ„som ransomware,” sa Dorais-Joncas.

Utvecklande hot

Det faktum att ZLoader har utvecklats för att anvĂ€ndas med att distribuera ransomware representerar “en vĂ€ckarklocka om hur ransomware kommer att fortsĂ€tta att utvecklas”, sĂ€ger Joseph Carson, chefssĂ€kerhetsforskare och rĂ„dgivande CISO pĂ„ Delinea, en leverantör av privilegierad Ă„tkomsthantering.

“Detta betyder att snarare Ă€n att ransomware-offer riktas mot, gör det ransomware mer opportunistiskt – vilket gör att fler individer och smĂ„företag löper högre risk att bli offer för ransomware”, sa Carson i ett mejl.

Att byta anvĂ€ndning av ZLoader frĂ„n att stjĂ€la referenser och kĂ€nslig data till distribution av ransomware skulle “sannolikt resultera i att fler individer och smĂ„företag blir offer för ransomware genom att besöka fel domĂ€n eller klicka pĂ„ fel lĂ€nk”, sa han.

Utvecklingen Ă€r en pĂ„minnelse om att “alla nu Ă€r ett mĂ„l för ransomware-kriminella”, sa Carson. “Vi mĂ„ste prioritera ransomware inte lĂ€ngre som det största hotet mot organisationer, utan ett av de största hoten mot samhĂ€llet.”

En lukrativ verksamhet

Davis McCarthy, frĂ€msta sĂ€kerhetsforskare vid Valtix, noterade att Emotet ocksĂ„ utvecklats frĂ„n en banktrojan – “att bli ett kraftfullt polymorft botnĂ€t som har undvikit borttagning i flera Ă„r.”

Som stöd för denna utveckling av ZLoader Ă€r det faktum att “ransomware Ă€r lukrativt. Och i takt med att fler ransomware-grupper kommer ut pĂ„ marknaden kommer Ă„tkomstförmedling att vĂ€xa i efterfrĂ„gan”, sa McCarthy. “I takt med att accessförmedling vĂ€xer kommer behovet av pĂ„litliga och innovativa leveransmetoder ocksĂ„ att vĂ€xa.”

Tidigare har ZLoader varit knuten till ransomware-familjer inklusive Ryuk, som Àr ökÀnt för att rikta in sig pÄ vÄrdorganisationer, sa Microsofts forskare.

En sĂ€rskilt anmĂ€rkningsvĂ€rd del av ZLoader-kampanjen Ă€r nĂ€rvaron av anpassningsbara alternativ, “som skulle göra att en angripares anvĂ€ndning av ZLoader skiljer sig frĂ„n en annan angripares instans”, sĂ€ger Ben Pick, huvudkonsult pĂ„ nVisium. “Detta gör upptĂ€ckt svĂ„rt eftersom en signaturbaserad metod skulle vara ineffektiv.”

Bredare nÀt

I slutĂ€ndan ökar “underhĂ„llna trojaner vanligtvis sina möjligheter att kasta ett bredare nĂ€t av potentiella offer eller undvika upptĂ€ckt,” sa Pick. “För mig betyder detta att hotet kvarstĂ„r och att trojanen kommer att fortsĂ€tta att utvecklas, sĂ„ lĂ€nge den Ă€r lönsam för illvilliga aktörer.”

John Bambenek, huvudhotsjĂ€gare pĂ„ Netenrich, noterade att tidigt i ransomwares historia försökte mĂ„nga ransomware-författare distribuera sin egen malware. Men de upptĂ€ckte snabbt att det var bĂ€st att fokusera pĂ„ att göra solid ransomware – och lĂ„ta de som var skickliga pĂ„ att kompromissa med system i bulk att fokusera pĂ„ det, sa Bambenek.

“Resultatet Ă€r ett effektivt och obevekligt ekosystem som gĂ„r efter offer pĂ„ ett sĂ€tt som maximerar vinsten för bĂ„da grupperna”, sa han.

Modern ransomware, sa Bambenek, Ă€r en komplicerad verksamhet som krĂ€ver olika uppsĂ€ttningar av expertis. Och vid det hĂ€r laget, sa han, “har brottslingarna kommit pĂ„ det för att effektivisera sin tid och effektivitet för att fĂ„ betalt.”

VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att fÄ kunskap om transformativ företagsteknologi och handla. LÀs mer om medlemskap.