ТоyМакер: Посредник сајбер криминала који отвара врата рансомwаре нападима

Истраживачи из области сајбер безбједности су детаљно описали активности ТоyМакер-а који је у сајбер свијету препознат као Инитиал Аццесс Брокер (ИАБ) због улоге да проваљује у рањиве системе (нпр.фирме и организације) и продаје приступне параметре другим сајбер криминалцима или криминалним групама. Истраживачи су утврдили да ИАБ компримитује системе и продаје приступ рансомwаре групама попут ЦАЦТУС.

ТоyМакер користи сопствени малвер под називом ЛАГТОY познат и под називом ХОЛЕРУН, који омогућава креирање Реверсе Схелл веза и извршавање команди на компромитованим уређајима. Малвер ЛАГТОY је први пут документовала фирма Мандиант у марту 2023 године која га повезује са пријетњом познатом као УНЦ961 (такође познат као Голдмелодy или Пропхет спидер).

Тоyмакер циља познате рањивости на интернет-експонираним апликацијама како би стекао иницијални приступ након чега у року од недељу дана врши извиђање, крађу приступних података и инсталацију ЛАГТОY-а.

Нападачи користе ССХ везе за преузимање форензичког алата Магнет РАМ Цаптуре, вјероватно у циљу прикупљања меморијских думпова и крађе корисничких акредитива.

ЛАГТОY комуницира са унапријед дефинисаним командно-контролним сервером (Ц2), извршава команде, покреће процесе под различитим корисничким привилегијама и процесуира три основне команде са паузом од 11 секунди између.

Након периода неактивности од три недеље, истраживачи из Цисцо Талос су примијетили да је група ЦАЦТУС користила приступе које је украо ТоyМакер како би спровела рансомwаре напад.

У инциденту који је анализирао Талос речено је да су афилиати ЦАЦТУС Рансомwаре-а спровели извиђање и активности успостављања упоришта прије него што су приступили ексфилтрацији података и шифровању. Такође су примијећене различите методе за успостављање дугорочног приступа укључујући коришћење ОпенССХ, АнyДесц и еХорус Агента.

ТоyМакер је финансијски мотивисан посредник за почетни приступ (ИАБ) који стиче приступ високовредним организацијама и затим преноси тај приступ секундарним пријетњама које обично уновчавају приступ путем двоструке изнуде и спровођења Рансомwаре напада.

Када су у питању основне мјере заштите од нападача попут овог редован бацкуп је императив и потребно га је држати даље од главне мреже. Такође неопходно је редовно ажурирати софтвер и системе, јака аутентификација, антивирус и антималвер заштита. Напредније мјере за компаније и озбиљнију заштиту могу обухватити сегментацију мреже, детекцију и одговор на сајбер пријетње, контролу приступа, редовно тестирање сигурности и план за одговор на инциденте.