Hackaanvallen op Rusland met uitgelekte Russische ransomware

De leden van NB65 (Network Battallion 65) zijn eind februari al binnengedrongen bij het Russische instituut voor nucleaire beveiliging, waar ze zo'n 40.000 documenten hebben ontvreemd. Ook zou NB65 er begin maart in zijn geslaagd om in te breken bij Kaspersky, een securityleverancier van Russische bodem. Daar is volgens de groep broncode buitgemaakt van het antivirusproduct van Kaspersky, dat vervolgens online is vrijgegeven.

Eigen variant

Afgelopen maand zijn diverse Russische bedrijven en organisaties op de korrel genomen door NB65. Daarbij is een eigen variant van de uitgelekte Conti-ransomware ingezet. Terwijl deze nieuwe malware voorheen nog onbekend was, is afgelopen week een exemplaar geüpload naar securitydienst VirusTotal, meldt Bleeping Computer. Bijna alle antivirussoftware herkent dat exemplaar als zijnde Conti, maar analyse van Intezer Analyze wijst uit dat 66% van het ransomware sample gelijk is aan die oorspronkelijke code.

De Conti-afpersers hebben een groot lek van interne data over zich heen gekregen nadat de groep zich openlijk uitsprak vóór Rusland in de oorlog in Oekraïne. Een lid van deze cybercriminele bende is echter voor Oekraïne en heeft vervolgens interne data gelekt. Daaronder ook code voor de gebruikte ransomware, die vervolgens door NB65 is aangepast en ingezet tegen Russische doelwitten.

Maatwerkencryptie

De geclaimde hacks betreffen ruimtevaartorganisatie Roscosmos (die ook satellietbeelden faciliteert voor bijvoorbeeld routenavigatie), staatszender VGTRK (die radio- en tv-uitzendingen verzorgt), en IT-bedrijf Tensor (dat onder meer software voor documentmanagement biedt). Voor elk slachtoffer is de encryptiefunctionaliteit aangepast, zodat decryptie met bestaande tools niet werkt én zodat er per organisatie maatwerk (of dus losgeldbetaling) vereist is.

Tegenover Bleeping Computer verklaart NB65 dat het nog geen contactpogingen van de gehackte organisaties heeft ontvangen, en dat het die ook niet verwacht. Áls er toch losbetalingen worden verricht, dan zegt de hackergroep het geld te doneren aan humanitaire hulp in Oekraïne.

Reactie Kaspersky:

In een nagekomen reactie laat securityleverancier Kaspersky weten aan AG Connect dat er géén broncode bij het bedrijf is gestolen en dat er ook niet is ingebroken.

"Hackinggroep NB65 heeft niet ingebroken bij Kaspersky, noch heeft het broncode gestolen. Het "lek" dat NB65 in maart 2022 beweerde, bevatte niet de broncode van de producten van het bedrijf, maar fragmenten van publiekelijk beschikbare gegevens van Kaspersky-servers. De broncode van Kaspersky's producten, samen met updates van beveiligings- en AV-databases, resultaten van beveiligingsaudits, softwarebouw van materialen, zijn allemaal beschikbaar voor inzage in Transparency Centers die over de hele wereld zijn geopend als onderdeel van het Kaspersky Global Transparency Initiative."