Na quinta -feira, pesquisadores da Symantec Security Company relatório Trabalhar juntos de outras maneiras usadas pelo Grupo Ra World Ransomware das “diferentes ferramentas” que foram usadas anteriormente apenas na operação do isolamento pelas ameaças que estão ligadas à China.
O primeiro conjunto de ferramentas em julho foi uma variável do plugx, que é um patrocinador personalizado. O tempo da ferramenta foi encontrado pela empresa de segurança de rede Palo Alto na variável Thor Plugx, que os pesquisadores da empresa vincularam ao grupo chinês que se seguiu sob o nome Fiant, Mustang Panda e Earth Preta. Variável tipo 2 encontrada pela Trend Micro da empresa de segurança.
Convites adicionais relacionados às mesmas variáveis plugx ocorreram em agosto, quando o atacante invadiu o governo dos países do sudeste da Europa. No mesmo mês, o atacante invadiu o Ministério do Governo no sudeste da Ásia. Em setembro de 2024, o atacante invadiu os operadores de telecomunicações naquela região e, em janeiro, o atacante visava outro governo do governo no sudeste da Ásia.
Os pesquisadores de tecnologia da Saiman têm a teoria da concorrência sobre o motivo de trabalhar juntos:
Há evidências de que esse invasor às vezes pode participar de ransomware no relatório sobre o ataque de Ra Palo Alto, dizendo que alguns vínculos foram encontrados na Bronze Starlight (também conhecida como Imperador Dragonfly), ator da China. Uma das ferramentas usadas para atacar o ransomware é uma ferramenta de propagação chamada NPS, criada pelos desenvolvedores de software chinês. Isso foi usado pela Bronze Starlight.
Não está claro por que os atores parecem estar ligados à operação das Escrituras é a instalação do ataque de ransomware, embora isso não seja incomum para os atores das ameaças norte -coreanas que participarão de ataques financeiros. Mas não há história semelhante para atores, ameaças na China e não há uma razão clara para que eles perseguem essa estratégia.
Outra possibilidade é usar Ranzumware para ocultar evidências de invasão ou agir como uma atração para atrair a verdadeira natureza da invasão. No entanto, a adaptação do ransomware não é muito eficaz para ocultar as ferramentas utilizadas, especialmente na invasão que está ligada ao ataque. Segundo, a meta de ransomware não é uma organização estratégica e é um erro em comparação com as metas corporativas. Parece que o anormal que o invasor vai ao comprimento para ocultar as características de sua campanha. No final, o atacante parece levar a sério a coleta de resgate da vítima e parece passar um tempo com eles. Isso geralmente não é assim.
A situação mais possível é um ator que pode ser uma das pessoas que estão tentando ganhar dinheiro além de usar as ferramentas do empregador.
Os relatórios de terça -feira de Mandiant também declararam que o uso dos malware de apoio pelo crime criminal.
