Μια ομάδα ransomware γνωστή ως LeakNet έχει δημιουργήσει αθόρυβα μια πιο επικίνδυνη στρατηγική επίθεσης. Μέχρι πρόσφατα, η ομάδα είχε κατά μέσο όρο περίπου τρία θύματα το μήνα — αλλά νέα στοιχεία δείχνουν ότι κλιμακώνεται γρήγορα, προσθέτοντας νέα εργαλεία που οι περισσότερες άμυνες ασφαλείας δεν έχουν κατασκευαστεί για να πιάσουν.
Το LeakNet έχει εισαγάγει δύο αξιοσημείωτες προσθήκες: ένα τέχνασμα κοινωνικής μηχανικής που ονομάζεται ClickFix και έναν κρυφό, βασισμένο σε μνήμη φορτωτή που βασίζεται στο χρόνο εκτέλεσης Deno JavaScript.
Το ClickFix δεν είναι μια ολοκαίνουργια τεχνική στο τοπίο των απειλών, αλλά η κίνηση του LeakNet προς τη χρήση του σηματοδοτεί μια σημαντική αλλαγή στον τρόπο με τον οποίο η ομάδα βρίσκει τα θύματά της.
Αντί να αγοράζει κλεμμένα διαπιστευτήρια πρόσβασης από μεσίτες αρχικής πρόσβασης (IAB) σε υπόγειες αγορές, το LeakNet εγκαθιστά τώρα ψεύτικες σελίδες επαλήθευσης σε παραβιασμένους αλλά κατά τα άλλα νόμιμους ιστότοπους.
Όταν ένας ανυποψίαστος χρήστης προσγειώνεται σε μία από αυτές τις σελίδες, εμφανίζεται αυτό που μοιάζει με έναν τυπικό έλεγχο περιστροφικής πύλης Cloudflare και του ζητείται να εκτελέσουν μια εντολή με μη αυτόματο τρόπο.
Δεν υπάρχει συγκεκριμένο προφίλ θύματος εδώ — η ομάδα απλώς ρίχνει ένα ευρύ δίχτυ και υπολογίζει σε μια μερίδα χρηστών που θα πάρουν το δόλωμα.
Οι αναλυτές της ReliaQuest προσδιόρισαν τη δραστηριότητα σε πολλά πρόσφατα περιστατικά, αποδίδοντάς το στο LeakNet με υψηλή εμπιστοσύνη που βασίζεται σε αλληλοκαλυπτόμενες υποδομές και συνεπείς τακτικές, τεχνικές και διαδικασίες (TTP).
Η απομάκρυνση από τα IABs είναι σκόπιμη: αφαιρεί μια εξάρτηση που επιβράδυνε την ομάδα και διευρύνει σημαντικά τη δεξαμενή των πιθανών θυμάτων. Το ClickFix έχει γίνει μια προτιμώμενη μέθοδος παράδοσης σε όλο το τοπίο απειλών, διευκολύνοντας τη διανομή του 59% των κορυφαίων οικογενειών κακόβουλου λογισμικού που παρακολουθούνται το 2025.
Αυτή η αλλαγή θέτει σε κίνδυνο οποιονδήποτε υπάλληλο περιήγησης στο διαδίκτυο. Επειδή τα θέλγητρα φιλοξενούνται σε πραγματικούς ιστότοπους και όχι σε τομείς που ανήκουν σε εισβολείς, οι τυπικές άμυνες επιπέδου δικτύου παράγουν πολύ λιγότερες ειδοποιήσεις.
Η κόκκινη σημαία εμφανίζεται μόνο αφού ο χρήστης έχει ήδη εκτελέσει την κακόβουλη εντολή, η οποία δίνει μεγαλύτερη βαρύτητα στην παρακολούθηση συμπεριφοράς — ιδιαίτερα για ύποπτες msiexec εντολές και απροσδόκητες εξερχόμενες συνδέσεις — αντί για αποκλεισμό μόνο βάσει τομέα.
Αυτό που κάνει την τρέχουσα καμπάνια του LeakNet ιδιαίτερα ανησυχητική είναι πώς και οι δύο διαδρομές εισόδου — ClickFix και phishing της Microsoft Teams — τροφοδοτούν την ίδια αλυσίδα μετά την εκμετάλλευση κάθε φορά.
Η ομάδα κινείται μέσω της εκτέλεσης, της πλευρικής κίνησης και της στάθμισης ωφέλιμου φορτίου με τα ίδια εργαλεία ανεξάρτητα από το πώς μπήκε.
Αυτή η συνέπεια είναι ένα χρήσιμο μήνυμα για τους αμυνόμενους: η γνώση των βημάτων σημαίνει ότι υπάρχουν σαφή σημεία όπου η επίθεση μπορεί να εντοπιστεί και να διακοπεί.
The Stealthy Deno-Based Loader
Ένα από τα πιο επικίνδυνα τεχνικά μέρη της ενημερωμένης εργαλειοθήκης του LeakNet είναι ένας προηγουμένως μη αναφερόμενος φορτωτής που βασίζεται στο Deno, έναν νόμιμο χρόνο εκτέλεσης JavaScript και TypeScript που χρησιμοποιείται καθημερινά από προγραμματιστές.
Το LeakNet χρησιμοποιεί μια προσέγγιση φέρτε το δικό σας χρόνο εκτέλεσης (BYOR) — αντί να αναπτύξουν ένα προσαρμοσμένο κακόβουλο δυαδικό αρχείο που θα μπορούσε να ενεργοποιήσει εργαλεία ασφαλείας, οι εισβολείς εγκαθιστούν το πραγματικό, αξιόπιστο εκτελέσιμο Deno στον υπολογιστή του θύματος και το χρησιμοποιούν για την εκτέλεση επιβλαβούς κώδικα.
..png)
Το πρόγραμμα φόρτωσης ενεργοποιείται μέσω αρχείων PowerShell και Visual Basic Script, με συγκεκριμένα ονόματα Romeo*.ps1 και Juliet*.vbs.
Αντί να γράψει ένα αρχείο JavaScript στο δίσκο όπου θα μπορούσε να σαρωθεί, το LeakNet τροφοδοτεί το ωφέλιμο φορτίο στο Deno ως μια διεύθυνση URL δεδομένων με κωδικοποίηση βάσης 64, την οποία η Deno αποκωδικοποιεί και εκτελείται εξ ολοκλήρου στη μνήμη.
Κανένα τυπικό αρχείο δεν αγγίζει ποτέ το τελικό σημείο, καθιστώντας την όλη διαδικασία σχεδόν αόρατη στα εργαλεία ασφαλείας που βασίζονται σε υπογραφές.
.webp)
Μόλις εκτελεστεί ο φορτωτής, συλλέγει βασικές λεπτομέρειες συστήματος – όνομα χρήστη, όνομα κεντρικού υπολογιστή, μέγεθος μνήμης και έκδοση λειτουργικού συστήματος – και στη συνέχεια δημιουργεί ένα μοναδικό δακτυλικό αποτύπωμα θύματος.
Συνδέεται σε υποδομή που ελέγχεται από τον εισβολέα για να ανακτήσει ένα ωφέλιμο φορτίο δεύτερου σταδίου για το θύμα, αποτρέπει τις διπλές παρουσίες δεσμεύοντας σε μια τοπική θύρα και, στη συνέχεια, εισέρχεται σε έναν κύκλο βρόχου ανάκτησης και εκτέλεσης περαιτέρω κώδικα στη μνήμη.
Για να μειωθεί η έκθεση, οι οργανισμοί θα πρέπει να αποκλείσουν νέους καταχωρημένους τομείς, καθώς οι διακομιστές εντολών και ελέγχου του LeakNet είναι συνήθως μόλις εβδομάδων.
Οι τακτικοί χρήστες θα πρέπει να έχουν περιορισμό στο να εκτελούν εντολές Win-R στους σταθμούς εργασίας τους και το PsExec θα πρέπει να περιορίζεται σε εξουσιοδοτημένους διαχειριστές μέσω Αντικειμένων Πολιτικής Ομάδας (GPO).
Οι ομάδες ασφαλείας πρέπει να προσέχουν jli.dll πλευρική φόρτιση στο C:\ProgramData\USOShared κατάλογο, ασυνήθιστη δραστηριότητα PsExec και απροσδόκητες εξερχόμενες συνδέσεις σε κάδους S3.
Η απομόνωση ενός παραβιασμένου κεντρικού υπολογιστή τη στιγμή που επιβεβαιώνεται η συμπεριφορά μετά την εκμετάλλευση είναι ο πιο άμεσος τρόπος για να σπάσετε την αλυσίδα πριν φτάσει στην ανάπτυξη του ransomware.
