Onderzoekers van BlackBerry signaleren dat overheden, waaronder scholen, steeds meer last hebben van de remote access trojan (RAT) ChaChi die ransomware-aanvallen van de PYSA-variant mogelijk maakt.
BlackBerry geeft in het onderzoek aan dat de ChaChi-trojan nu slachtoffers maakt in de Verenigde Staten. Vooral onderwijsinstellingen, van lager onderwijs tot universiteiten, zijn daar het slachtoffer. Ook gezondheidszorginstellingen en bedrijven zijn geliefde doelen voor de hackers die deze RAT-trojan gebruiken. De trojan dook al in een eerdere variant begin vorig jaar in Frankrijk op, waar het lokale overheden aanviel.
Nieuwe mogelijkheden van ChaChi
In de Verenigde Staten is nu een variant actief die nieuwe mogelijkheden heeft gekregen, volgens BlackBerry. De nu ontdekte versie van de ChaChi RAT-trojan beschikt onder meer over ‘code obfuscation’ en DNS tunneling. Deze laatste exploit maakt het hackers mogelijk om de firewalls en andere detectiesoftware van slachtoffers te omzeilen.
De nu ontdekte trojan is geschreven in de relatief nieuwe Golang-programmeertaal. Dit maakt detectie en analyse moeilijk, aangezien nog niet iedereen deze taal kent. De naam ChaChi komt van twee onderdelen van de RAT, Chashell en Chisel. Deze onderdelen voeren door de hackers bedachte acties uit, in plaats van dat zij bepaalde tools ontwikkelen om deze functionaliteit uit te voeren.
PYSA ransomware-aanvallen
Concreet maakt de ChaChi RAT-trojan het de hackers mogelijk om PYSA-ransomware-aanvallen uit te voeren. Deze ransomwarevariant werd vroeger vooral ingezet voor aanvallen op grote organisaties. Vooral organisaties met ‘diepe broekzakken’, zodat hackers hiermee een hoop losgeld konden vragen.
Tegenwoordig wordt deze ransomwarevariant ook vaker gebruikt tegen onderwijsinstellingen, zo ontdekte de FBI. Onderwijsinstellingen herkennen ransomware vaak niet en hun medewerkers zijn vaak slecht getraind in security. Het maakt dit soort instellingen tot geliefde doelen. Naast het versleutelen van systemen voor losgeld, wordt de variant door hackers ook gebruikt voor het ontfutselen van informatie. Wanneer bedrijven of instellingen niet betalen, wordt deze informatie openbaar gemaakt.
Tool van BlackBerry
BlackBerry heeft inmiddels een tool ontwikkeld waarmee bedrijven en instellingen de door de ChaChi verminkte code weer leesbaar kunnen maken. Securityspecialisten krijgen hiermee inzicht in de originele broncode zodat het makkelijker wordt de trojan te identificeren en van het netwerk te verwijderen.
13 uur geleden
