Een door China gesteunde groep aanvallers heeft ransomware gebruikt als afleiding voor hun spionage. Dat zegt beveiliger Secureworks.
Secureworks belicht het werk van de groep, die het bedrijf Bronze Starlight noemt, in een nieuw rapport. De groep bestaat sinds midden 2021 en zou voor de Chinese overheid werken. Bronze Starlight gebruik HUI loader om verschillende vormen van ransomware te installeren, waaronder Pandora, LockFile en meer. Geld aftroggelen zou echter niet hun belangrijkste doel zijn, dat is volgens de beveiliger cyberspionage.
‘De ransomware kan medewerkers die op het incident moeten beantwoorden afleiden van het eigenlijke doel van de aanvallers’, schrijft het bedrijf, ‘en verkleint de kans dat de activiteiten worden toegewezen aan overheidsagenten van China.’
Ongewone strategieën
Secureworks baseert de theorie op zijn onderzoek van de groep. Die stuurt verschillende vormen varianten van ransomware uit voor korte periodes, en verandert ook al eens van model (van een meer traditioneel afpersingsmodel naar eentje waarbij het dreigt om buitgemaakte informatie vrij te geven, bijvoorbeeld). Dat zou ongewoon zijn voor meer traditionele cyberbendes, die gewoon dezelfde tactiek blijven volgen tot er geen geld meer uit te rapen valt.
‘Het is mogelijk dat die veranderingen betere opties gaven om data te stelen. De aanvallers kunnen ook besloten hebben dat een meer publiek profiel effectiever is als afleiding van hun eigenlijke doelstellingen’ aldus nog Secureworks.
Volgens het rapport heeft de groep 21 slachtoffers gemaakt, waarvan drie-kwart een interessant doel kunnen vormen voor Beijing. Het gaat dan bijvoorbeeld om farmabedrijven, leveranciers van legerdiensten en ontwerpers van elektronische componenten.
Fout opgemerkt of meer nieuws? Meld het hier