Cyberespionagegroepen gebruiken ransomware als een tactiek om de toewijzing van aanvallen moeilijker te maken, verdedigers af te leiden, of voor een financiële beloning als secundair doel naast datadiefstal.

Een gezamenlijk rapport van analisten van SentinelLabs en Recorded Future presenteert het geval van ChamelGang, een vermoedelijke Chinese geavanceerde persistente dreiging (APT) die de CatB ransomware-variant heeft gebruikt bij aanvallen die invloed hebben op vooraanstaande organisaties wereldwijd.

Een afzonderlijke activiteitengroep gebruikt BestCrypt en Microsoft BitLocker om soortgelijke doelen te bereiken, hoewel de toewijzing onduidelijk is.

Doelwitten van ChamelGang

ChamelGang, ook bekend als CamoFei, heeft tussen 2021 en 2023 gericht op overheidsorganisaties en kritieke infrastructuurentiteiten.

De groep gebruikt geavanceerde technieken om initiële toegang te krijgen, voor verkenning en laterale beweging, en om gevoelige data te exfiltreren.

In een aanval in november 2022 richtten de dreigingsactoren zich op het voorzitterschap van Brazilië en compromitteerden 192 computers. De tegenstander vertrouwde op standaard verkenningstools om het netwerk in kaart te brengen en informatie te verzamelen over kritieke systemen.

In de laatste fase van de aanval zette ChamelGang CatB ransomware in op het netwerk, waarbij losgeld notities aan het begin van elk versleuteld bestand werden achtergelaten. Ze gaven een ProtonMail-adres voor contact en een Bitcoin-adres voor betaling.

De aanval werd aanvankelijk toegeschreven aan TeslaCrypt, maar SentinelLabs en Recorded Future presenteren nieuw bewijs dat wijst op ChamelGang.

Tijdens een ander incident eind 2022, brak ChamelGang in bij de All India Institute Of Medical Sciences (AIIMS), een openbare medische onderzoeksuniversiteit en ziekenhuis. De dreigingsactor gebruikte opnieuw CatB ransomware, wat grote verstoringen in de gezondheidszorg veroorzaakte.

De onderzoekers geloven dat twee andere aanvallen, tegen een overheidsentiteit in Oost-Azië en een luchtvaartorganisatie op het Indisch subcontinent, ook het werk van ChamelGang zijn, gebaseerd op het gebruik van bekende TTP’s, publiek beschikbare tooling gezien in eerdere gevallen, en hun eigen malware BeaconLoader.

BestCrypt en BitLocker

Een aparte cluster van activiteiten gespot door SentinelLabs en Recorded Future versleutelt bestanden met behulp van Jetico BestCrypt en Microsoft BitLocker in plaats van CatB ransomware.

De onderzoekers zeggen dat deze inbraken 37 organisaties hebben getroffen, de meeste in Noord-Amerika. Andere slachtoffers bevonden zich in Zuid-Amerika en Europa.

Door het vergelijken van bewijsmateriaal in rapporten van andere cybersecuritybedrijven, ontdekten de onderzoekers overlappingen met eerdere inbraken die gelinkt zijn aan vermoedelijke Chinese en Noord-Koreaanse APT’s.

Meestal werd BestCrypt gebruikt om server endpoints op een geautomatiseerde, seriële manier te versleutelen, terwijl BitLocker werd ingezet tegen werkstations, met unieke herstelwachtwoorden in elk geval.

De aanvallers gebruikten ook de China Chopper webshell, een aangepaste variant van de miPing-tool, en maakten gebruik van Active Directory Domain Controllers (DC’s) als steunpunten.

De analisten rapporteren dat deze aanvallen gemiddeld negen dagen duurden, terwijl sommige een korte duur van slechts enkele uren hadden, wat wijst op bekendheid met de doelomgeving.

Een reden voor het betrekken van ransomware bij cyberespionage-aanvallen kan zijn dat het strategische en operationele voordelen biedt die de lijnen tussen APT en cybercriminelen vervagen, wat kan leiden tot onjuiste toewijzing of als een middel om de aard van de dataverzamelingsoperatie te verhullen.

Het toewijzen van eerdere ransomware-incidenten aan een cyberespionagedreigingsactor zoals ChamelGang is nieuw en toont aan dat tegenstanders hun tactieken veranderen om hun sporen te verhullen terwijl ze hun doelen bereiken.