Matanbuchus 3.0
A Morphisec jelentése szerint a Matanbuchus, amelyet már 2021 óta ismert ransomware-loader szolgáltatást (MaaS), egy új verzióval tért vissza. A 3.0-ás változat továbbfejlesztett logikával, amit akár egy Teams-megbeszélésbe is be lehet csempészni. Ez a frissítés lényegesen könnyebbé teszi a célpontok számára a fenyegetés letöltését és kivitelezését, mivel nemcsak GitHub-ot vagy Dropboxot, hanem akár legitim Microsoft-tevékenységekhez kötődő fájlmegosztó URL-eket is felhasznál grácia nélküli letöltési láncként.
A Matanbuchus 3.0 már nem egyszerű egyszeri payload loader, hanem egy teljes funkciókkal bíró MaaS architektúrát kínál, amely automatikusan letölti a zsaroló modult, elindítja memóriában, majd lehetővé teszi az adatlopást és a titkosítást. A Morphisec kutatói szerint a loader simán átcsúszik az endpoint védelmi rendszerek között, mivel memóriában fut, fájl nem marad, és a kommunikáció álcázott, gyakran megbízható felhőszolgáltatókról indul.
Az új verzió rugalmasabb, a 3.0-as változat on-demand töltési képességekkel rendelkezik a felhőből, így a támadók testreszabhatják, hogy mely modulokat vitetnek át, beleértve a credential harvesting-et, a lateral movement funkciókat vagy a ransomware exfiltrációs részeit. Ez különösen veszélyessé teszi, mivel a loader könnyen igazodik az adott célpont környezetéhez, így nehéz előre definiált minták alapján azonosítani.
A Morphisec szerint a 3.0-s változat már nem csak technikai, hanem üzleti evolúciót is mutat. A MaaS modell felhőalapokra építve menedzselt szolgáltatásként működik, a bérlő fizet a loaderért és a payloadért, a támadók pedig közvetlenül távoli hozzáférést vásárolhatnak a rendszerhez. Ez fokozza a ransomware ökoszisztéma érettségét és a fenyegetés volumenét.
Az egyik legmarkánsabb tanulság, hogy a pusztán fájlbázisú vírus- és végpontvédelem nem képes időben észlelni az ilyen fajta támadásokat. A Morphisec érvelése szerint csak preemptív, memória-alapú, futásidejű védelem – mint amilyet az AMTD technológia képvisel – képes meggátolni. Itt a loader nem realizál fájlmerülést, és az exekúció előtt blokkolható, mielőtt a ransomware aktiválódna.
