Το CrazyHunter ransomware έχει αναδειχθεί ως μια κρίσιμη και εξελισσόμενη απειλή που στοχεύει συγκεκριμένα οργανισμούς υγειονομικής περίθαλψης και ευαίσθητες ιατρικές υποδομές.
Αυτό το κακόβουλο λογισμικό που αναπτύχθηκε από την Go αντιπροσωπεύει μια σημαντική κλιμάκωση στην πολυπλοκότητα του ransomware, χρησιμοποιώντας προηγμένες μεθόδους κρυπτογράφησης και μηχανισμούς παράδοσης που έχουν σχεδιαστεί για να παρακάμπτουν τις σύγχρονες άμυνες ασφαλείας.
Ιδρύματα υγειονομικής περίθαλψης στην Ταϊβάν έχουν υποστεί επανειλημμένες επιθέσεις, με τουλάχιστον έξι γνωστούς οργανισμούς να πέφτουν θύματα αυτής της επιθετικής εκστρατείας.
Η εστίαση του ransomware στον τομέα της υγειονομικής περίθαλψης είναι ιδιαίτερα ανησυχητική λόγω της κρίσιμης φύσης των ιατρικών υπηρεσιών, όπου ο χρόνος διακοπής λειτουργίας του συστήματος μπορεί να επηρεάσει άμεσα τη φροντίδα των ασθενών και οι οργανισμοί διατηρούν τεράστιες ποσότητες ευαίσθητων πληροφοριών ασθενών που τους καθιστούν πολύτιμους στόχους για εκβιασμό.
Η μεθοδολογία επίθεσης επιδεικνύει τακτική πολυπλοκότητα και επιχειρησιακή ωριμότητα. Το CrazyHunter λειτουργεί μέσω μιας προσεκτικά ενορχηστρωμένης διαδικασίας πολλαπλών σταδίων που ξεκινά με αρχικό συμβιβασμό μέσω της εκμετάλλευσης του Active Directory, αξιοποιώντας τους αδύναμους κωδικούς πρόσβασης λογαριασμού τομέα ως σημείο εισόδου.
Μόλις εισέλθουν σε ένα δίκτυο, οι εισβολείς χρησιμοποιούν το SharpGPOAbuse για να διανείμουν το ωφέλιμο φορτίο ransomware μέσω Αντικειμένων πολιτικής ομάδας, επιτρέποντας την ταχεία διάδοση σε συνδεδεμένα συστήματα.
Στη συνέχεια, το κακόβουλο λογισμικό εκτελεί μια συντονισμένη ακολουθία λειτουργιών που έχουν σχεδιαστεί για την απενεργοποίηση συστημάτων ασφαλείας, την κρυπτογράφηση κρίσιμων αρχείων και τη διατήρηση του λειτουργικού απορρήτου καθ’ όλη τη διάρκεια του κύκλου ζωής της επίθεσης.
Αυτό που κάνει το CrazyHunter ιδιαίτερα επικίνδυνο είναι η ικανότητά του να αποφεύγει τις παραδοσιακές λύσεις ασφαλείας. Το κακόβουλο λογισμικό χρησιμοποιεί πολλαπλά στοιχεία απενεργοποίησης προστασίας από ιούς, εξελιγμένες τεχνικές εκτέλεσης που βασίζονται στη μνήμη και μηχανισμούς κρυπτογράφησης αντιγράφων ασφαλείας που διασφαλίζουν την επιτυχή κρυπτογράφηση ακόμη και αν αποτύχουν οι κύριες μέθοδοι ανάπτυξης.
.webp.jpeg "Το CrazyHunter Ransomware επιτίθεται στον τομέα της υγειονομικής περίθαλψης με προηγμένες τεχνικές αποφυγής")
Σύμφωνα με τους αναλυτές της Trellix Threat Intelligence, το CrazyHunter ransomware ήταν αναγνωρισθείς και παρακολουθείται από την αρχική του εμφάνιση, με τους ερευνητές ασφαλείας να σημειώνουν τον γρήγορο κύκλο ανάπτυξής του και τις αξιοσημείωτες προόδους στις τεχνικές συμβιβασμού του δικτύου.
Η απειλή λειτουργεί με δομημένα κανάλια διαπραγμάτευσης λύτρων, συμπεριλαμβανομένων αποκλειστικών διευθύνσεων email, καναλιών επικοινωνίας Telegram και ανώνυμης υποδομής δικτύου, υποδεικνύοντας μια οργανωμένη εγκληματική επιχείρηση με καθιερωμένες διαδικασίες εμπλοκής θυμάτων.
Η τεχνική υποδομή που υποστηρίζει το CrazyHunter αποκαλύπτει σκόπιμες σχεδιαστικές αποφάσεις που στοχεύουν στη μεγιστοποίηση της αποτελεσματικότητας με ταυτόχρονη ελαχιστοποίηση της ανίχνευσης.
Το κακόβουλο λογισμικό χρησιμοποιεί μια προσέγγιση «φέρτε το δικό σας ευάλωτο πρόγραμμα οδήγησης», εκμεταλλευόμενη μια νόμιμη αλλά ευάλωτη έκδοση προγράμματος οδήγησης προστασίας από κακόβουλο λογισμικό Zemana 2.18.371.0 για να αυξήσει τα προνόμια και να τερματίσει τις διαδικασίες λογισμικού ασφαλείας.
.webp.jpeg "Το CrazyHunter Ransomware επιτίθεται στον τομέα της υγειονομικής περίθαλψης με προηγμένες τεχνικές αποφυγής")
Αυτή η τεχνική επιτρέπει στους εισβολείς να καταχωρούν τον κακόβουλο κώδικά τους ως εξουσιοδοτημένο καλούντα διεργασίας χρησιμοποιώντας συγκεκριμένους κωδικούς IOCTL και στη συνέχεια να τερματίζουν συστηματικά γνωστές λύσεις προστασίας από ιούς μέσω αιτημάτων τερματισμού διεργασίας.
Οι λειτουργίες εγγραφής και τερματισμού του οδηγού χρησιμοποιούν συγκεκριμένους κωδικούς επικοινωνίας που έχουν σχεδιαστεί για να παρακάμπτουν την παραδοσιακή παρακολούθηση ασφαλείας.
Μηχανισμοί Κρυπτογράφησης και Στρατηγική Προστασίας Δεδομένων
Το CrazyHunter χρησιμοποιεί μια υβριδική αρχιτεκτονική κρυπτογράφησης που συνδυάζει συμμετρικές και ασύμμετρες μεθόδους κρυπτογράφησης για να διασφαλίσει την προστασία των αρχείων και την αποτελεσματικότητα των λύτρων.
Το κακόβουλο λογισμικό χρησιμοποιεί τον κρυπτογράφηση ροής ChaCha20 ως τον κύριο αλγόριθμο κρυπτογράφησης, που λειτουργεί με μια χαρακτηριστική στρατηγική μερικής κρυπτογράφησης αντί για πλήρη κρυπτογράφηση αρχείων.
Κάθε κρυπτογραφημένο αρχείο έχει ένα byte κρυπτογραφημένο ακολουθούμενο από δύο μη κρυπτογραφημένα byte, δημιουργώντας μια αναλογία κρυπτογράφησης 1:2.
.webp.jpeg "Το CrazyHunter Ransomware επιτίθεται στον τομέα της υγειονομικής περίθαλψης με προηγμένες τεχνικές αποφυγής")
Αυτό το εσκεμμένο μοτίβο επιταχύνει σημαντικά τη διαδικασία κρυπτογράφησης, επιτρέποντας τον γρήγορο συμβιβασμό μεγάλων όγκων αρχείων ενώ δυνητικά αποφεύγει τον εντοπισμό από λύσεις ασφαλείας που παρακολουθούν τα μοτίβα δραστηριότητας εισόδου-εξόδου δίσκου.
Ο μηχανισμός κρυπτογράφησης προστατεύει τα κρυπτογραφικά κλειδιά του μέσω του Elliptic Curve Integrated Encryption Scheme, μιας ασύμμετρης μεθόδου κρυπτογράφησης που προσφέρει ισχυρή ασφάλεια με μικρότερα μήκη κλειδιών σε σύγκριση με τους παραδοσιακούς αλγόριθμους RSA.
Το κακόβουλο λογισμικό δημιουργεί μοναδικά κλειδιά ChaCha20 και nonces για κάθε αρχείο και στη συνέχεια κρυπτογραφεί αυτούς τους μηχανισμούς προστασίας χρησιμοποιώντας το δημόσιο κλειδί ECIES του εισβολέα.
Το κρυπτογραφημένο κλειδί και το nonce προσαρτώνται σε κάθε αρχείο, καθιστώντας αδύνατη την αποκρυπτογράφηση χωρίς πρόσβαση στο αντίστοιχο ιδιωτικό κλειδί που κατέχουν αποκλειστικά οι εγκληματίες.
Τα κρυπτογραφημένα αρχεία λαμβάνουν μια επέκταση .Hunter και δομημένη μορφή που περιέχει το κρυπτογραφημένο κλειδί ECIES, κρυπτογραφημένο nonce με ECIES και μερικώς κρυπτογραφημένο περιεχόμενο αρχείου με διαδοχική σειρά.
Αυτή η τεχνική βάση διασφαλίζει ότι τα θύματα δεν μπορούν να ανακτήσουν κρυπτογραφημένα δεδομένα με συμβατικά μέσα, δημιουργώντας τις προϋποθέσεις για επιτυχή διαπραγμάτευση λύτρων και συλλογή πληρωμών.
