Rhysida és Interlock kapcsolat
Az IBM X-Force több mint két évnyi kutatás alapján arra a következtetésre jutott, hogy a Rhysida és az Interlock ransomware-csoportok között korábban nem ismert technikai és operatív kapcsolatok létezhetnek. A kutatás nem állítja, hogy ugyanaz a csoport működteti őket, de jelentős átfedéseket talált a használt malware-ek, crypterek, hozzáférésközvetítők, infrastruktúra-elemek és fejlesztési minták között.
A jelentés szerint az Interlock az egyik legfejlettebb jelenlegi ransomware-szereplő. Saját fejlesztésű eszközkészletet használ, amelybe tartozik a NodeSnake, az InterlockRAT, a JunkFiction Downloader, a Supper (SocksShell) hátsó ajtó, valamint a saját ransomware és crypter komponensek. Az IBM emellett kapcsolatot azonosított az Interlock és a TAG-124 kezdeti hozzáférési infrastruktúra között, ami arra utal, hogy professzionális kezdeti hozzáférési szolgáltatásokra támaszkodnak.
A Rhysida esetében a kutatók azt figyelték meg, hogy a támadók rendszeresen használják az Endico Downloader, a Broomstick, a Supper és a Tomb Crypter eszközöket. Az IBM szerint több technikai jel utal kapcsolatra az IceNova ökoszisztémával és az ITG23 néven követett bűnözői infrastruktúrával is.
Az IBM jelentős kódegyezéseket talált a Supper, a NodeSnake, az InterlockRAT és a JunkFiction Downloader között. A hasonlóságok olyan mértékűek, hogy a kutatók szerint vagy közös eredeti kódbázisról, vagy részben azonos fejlesztőkről lehet szó. Ez arra utal, hogy a ransomware-ökoszisztémában nem elszigetelt csoportok működnek, hanem fejlesztők, hozzáférésközvetítők és malware-szolgáltatók laza hálózatai.
Az IBM szerint a modern ransomware-világ egyre inkább moduláris szolgáltatási ökoszisztémává válik. Egy csoport nem feltétlenül fejleszt saját malware-t, nem feltétlenül szerzi meg maga a kezdeti hozzáférést, és nem feltétlenül működteti saját infrastruktúráját. Ehelyett külön szereplők biztosítják a hozzáférést, a letöltőket, a cryptereket, a backdoorokat és a zsarolóprogramokat. A Rhysida és az Interlock közötti kapcsolatok jól példázzák ezt az iparszerű működést.
A védekezés során már nem elegendő egyetlen ransomware-csoport IOC-it figyelni. Az Interlock, Rhysida, TAG-124, Latrodectus és a kapcsolódó malware-családok egy közös bűnözői ökoszisztéma elemeinek tűnnek, ezért egyetlen komponens észlelése potenciálisan több ransomware-szereplő jelenlétére is utalhat.
