Według raportu opublikowanego w tym tygodniu przez konsultanta ds. bezpieczeństwa i dostawcę oprogramowania anty-ransomware Halcyon, pozornie nieszkodliwy dostawca hostingu w chmurze może być przykrywką dla irańskiej firmy, która świadczy usługi dowodzenia i kontroli dla atakujących ransomware.

W raporcie stwierdzono, że Cloudzy jest przede wszystkim dostawcą wirtualnych serwerów prywatnych, który akceptuje kryptowalutę jako płatność za swoje usługi. Halcyon powiedział, że zidentyfikował wielu aktorów zagrożeń, którzy korzystali z usług firmy w przeszłości, w tym grupy APT powiązane między innymi z rządami Chin, Iranu, Korei Północnej i Rosji. Cloudzy świadczyło również usługi dla znanego dostawcy oprogramowania szpiegującego i więcej niż jednego syndykatu przestępczego, powiedział Halcyion. Firma Cloudzy nie odpowiedziała na prośby o komentarz.

Zobacz również:

• Zero Trust Network Access – proaktywne podejście do bezpieczeństwa
• IBM Security QRadar SIEM pomoże zarządzić globalną strukturą odpowiedzialną za bezpieczeństwo
• Pishing metodą na e-TOLL. MF i KAS ostrzegają przed próbą wyłudzenia

Według Halcyon, Cloudzy nie wymaga od swoich klientów żadnej rzeczywistej weryfikacji tożsamości, a jedynie działającego adresu e-mail. Firma rzekomo egzekwowała zakazy korzystania z jej usług do jakichkolwiek nielegalnych działań, ale tylko wtedy, gdy działania te dotyczyły adresów IPv4 zarejestrowanych przez samą Cloudzy, a nie wtedy, gdy miały miejsce na infrastrukturze dzierżawionej od innych dostawców.

Dochodzenie Halcyon, które powiązało nielegalną działalność z Cloudzy za pośrednictwem tych bloków sieciowych (bloków adresów IP), zbadało również personel firmy. W raporcie stwierdzono, że obecność Cloudzy w USA jest przynajmniej częściowo fikcyjna i istnieje głównie na papierze. W rzeczywistości, jak stwierdzono w raporcie, Cloudzy jest w dużej mierze obsługiwane przez pracowników innej firmy o nazwie abrNOC, która ma siedzibę w Teheranie.

Nowy model ataku ransomware

W raporcie Halcyon stwierdzono, że „od 40% do 60%” wszystkich serwerów hostowanych przez firmę wydaje się wspierać możliwą złośliwą aktywność. Cloudzy, według Halcyon, jest częścią nowego modelu ataku ransomware, dostarczając aparaturę dowodzenia i kontroli (C2P) dla złośliwej aktywności za pośrednictwem pozornie legalnego źródła. Według dyrektora ds. marketingu Halcyon, Ryana Goldena, jest to inne podejście do problemu. „Większość operatorów nie poświęca czasu na konfigurowanie swoich operacji tak, by wyglądały na legalne firmy, ponieważ są one bardziej niszowe i chcą szybciej wejść na rynek. Używamy tej różnicy, aby rozróżnić między tym drugim typem dostawcy (zwykle znanym jako Bulletproof Hosting), który ma tendencję do ukrywania się pod płaszczykiem „absolutystów wolności słowa”, a tym, co nazywamy C2P”, powiedział.

Według Goldena idea C2P podszywającego się pod legalną firmę ma kilka zalet dla złych aktorów. Po pierwsze, po prostu wyglądanie na podmiot z siedzibą w USA zapewnia warstwę pozornej wiarygodności i zapewnia legalnym użytkownikom pomoc w ukryciu złośliwej działalności.

„Jako ruch związany z ich blokami sieciowymi jest mieszany z potencjalnie legalnymi zastosowaniami, złośliwym podmiotom łatwiej jest ukryć się na otwartej przestrzeni”, powiedział Golden.

Halcyon zaleca użytkownikom sprawdzenie swoich systemów pod kątem połączeń z serwerami zdalnego pulpitu powiązanymi z Cloudzy, które zostały szczegółowo opisane w raporcie.

Źródło: CSO