Russian Ransomware Gang alkaa työskennellä kiinalaisten hakkerien kanssa
Venäjän kyberrikosfoorumeilla on ollut epätavallista toimintaa, jossa hakkereita on havaittu kommunikoivan kiinalaisten uhkatoimijoiden kanssa yhteistyön vuoksi.
Uhkien tiedusteluyrityksen Flashpointin tietoturvatutkijat huomasivat mandariinikiinaa puhuvien uhkatoimijoiden toiminnan lisääntyneen merkittävästi venäläisellä RAMP -hakkerointifoorumilla ja useissa Dark Webin yhteisöissä.
Kiinalaisia uhkatekijöitä rohkaistiin jakamaan useita vinkkejä, osallistumaan keskusteluihin ja tekemään yhteistyötä kyberhyökkäyksissä.
Flashpoint ilmoitti lisäksi, että venäläiset ovat avanneet ovia lukuisille englannin ja mandariinikiinaa puhuville verkkorikollisille verkkotunnuksissa, jotka olivat kerran rajoitettuja vain heille.
Flashpointin raportissa mainittiin lisäksi:
"Lokakuussa Rampin järjestelmänvalvojat tekivät foorumin käyttöliittymään muutoksia, jotka helpottavat kiinan- ja englanninkielisten uhkatekijöiden saatavuutta."
Kiinalaiset uhkatoimijat ovat läsnä venäläisillä hakkerointifoorumeilla
Venäläisiä hakkerointipaneeleja on nyt saatavilla myös mandariinikiinaksi ja englanniksi venäjän lisäksi. Myös järjestelmänvalvojat puhuvat nyt usein foorumin jäsenille englanniksi.
Englanninkieliset kommentit ja sisältö ovat kasvamassa venäläisten kyberrikollisten keskuudessa. Korkea-arvoiset foorumin jäsenet ja ylläpitäjät yrittävät olla vuorovaikutuksessa kiinaa puhuvien jäsenten kanssa koneella luomalla kiinan kielellä.
Lisäksi tutkijat tunnistivat foorumilla noin 30 kiinalaista uhkatekijää. He ehdottavat, että merkittävä todennäköisyys venäläisten tekemiselle on yrittää solmia liittoutuman kiinalaisten hakkerien kanssa käynnistääkseen erilaisia kyberhyökkäyksiä, mahdollisesti amerikkalaisia, kaupankäynnin herkkyyttä tai kyberrikollisia vastaan Ransomware-as-a-Service (RaaS) -toimintoihin.
Ilmoitettiin, että tämän toimenpiteen aloitti Kajit, joka on RAMP:n järjestelmänvalvoja, ja väitti vierailleensa äskettäin Kiinassa ja osaavansa mandariinia.
Venäjän ja Kiinan uhkatoimijoiden yhteistyö ei kuitenkaan rajoitu vain RAMPiin. Samanlainen yhteistyö havaittiin Flashpointin "XSS-foorumilla".
Flashpointin uusi tutkimus selitti:
"Alla olevassa kuvakaappauksessa XSS-käyttäjä "hoffman" tervehtii kahta foorumin jäsentä, jotka paljastuivat kiinalaisiksi,
"Uhkatoimija kysyy heiltä, voisivatko he antaa tietoa kiristysohjelmista ja erilaisten järjestelmän haavoittuvuuksien ostamisesta. Kieli näyttää olevan konekäännetty kiina.
Lähde: Flashpoint
Edellisessä kuussa ‘Orange' tai ‘boriselcin', joka on RAMP-järjestelmänvalvoja ja ylläpitää myös Groove-nimistä sivustoa, kutsui viestissä kyberrikollisia kohdistamaan hyökkäyksensä Yhdysvaltoihin.
Kun viesti oli saanut medianäkyvyyden, järjestelmänvalvoja julisti, että se oli tarkoitettu väärennökseksi ja se lähetettiin vain turvallisuuden ja median manipuloimiseksi.
Venäläiset uhkatekijät eivät ole ainoita, jotka haluavat kohdistaa kyberhyökkäyksiä Yhdysvaltoihin. Aiemmin iranilaiset hakkerit olivat kohdistaneet kohteena myös amerikkalaisia organisaatioita Ransomwarella.
Intel 471 :n ja McAfeen kyberturvallisuustutkijat mainitsivat, että uhkatekijä yritti vain peitellä sitä, koska RaaS -hyökkäys ei mennyt odotetusti.
Conti ransomware -operaation äskettäisessä viestissä RAMPissa mainittiin tarve palkata yhteistyökumppaneita ja ostaa ensimmäinen tie verkkoihin. Joukko mainitsee mieluummin työskentelevänsä venäläisten kyberrikollisten kanssa, mutta ovat valmiita tekemään poikkeuksen kiinalaisten uhkatekijöiden suhteen.
Tämä mainos on venäjäksi, koska työskentelemme vain venäjänkielisten kanssa. MUTTA kunnioituksesta järjestelmänvalvojaa kohtaan teemme poikkeuksen kiinaa puhuville käyttäjille ja jopa käännämme tämän viestin kiinaksi (voit jopa kopioida sen mandariiniksi ja kanotoniksi!)" – Conti ransomware operation.
Lähde: BleepingComputer
Tämän perusteella näyttää siltä, että RAMP-hakkerointifoorumi rohkaisee mandariinia puhuvia käyttäjiä hyökkäyksiin.