Хактивистская группировка Ikaruz Red Team (IRT) активно использует ransomware для атак на цели в Филиппинах с политическими мотивами
Группировка Ikaruz Red Team совершает атаки на филиппинские организации, включая правительственные, и крадёт их брендинг и изображения. IRT связывают с геополитическим контекстом и напряжённостью в отношениях с Китаем, что делает Филиппины привлекательной целью для хактивистских групп, старающихся вызвать беспорядки.
Для своих атак IRT использует ПО LockBit, модифицируя его, чтобы заменить название на своё. Они активно распространяют эту модифицированную версию и рекламируют утечки данных из различных организаций на Филиппинах. Хактивисты используют стандартные идентификаторы контактных данных и главным образом нацеливаются на привлечение внимания через публикации в социальных сетях.
IRT атакует организации на Филиппинах с 2023 года, используя дефейсы, небольшие DDoS-атаки и теперь ransomware. Это связано с геополитическими напряжённостями в регионе, особенно с учётом стратегического значения Филиппин в Индо-Тихоокеанском регионе и нарастающих напряжённостей с Китаем.
IRT и Turk Hack Team имеют связи с хактивистским коллективом Anka Red Team. IRT активно распространяет выкупное ПО LockBit 3 с изменённым шаблоном, который заменяет название LockBit на «Ikaruz Red Team». Они используют стандартные контактные данные в записках о выкупе, оставленные в конструкторе LockBit. IRT также сообщает о своих атаках и использует социальные сети для привлечения внимания.
Среди используемых выкупных программ также были обнаружены JellyFish, Vice Society, ALPHV, BianLian, 8base и Cl0p. Наблюдается использование стандартных исполняемых файлов LockBit 3.0 и пользовательского файла IRT.ico в полезной нагрузке, а также замена иконок в зашифрованных файлах. Чтобы расшифровать файлы, жертве необходимо запустить полезную нагрузку, которая затем производит шифрование файлов и данных.
Однако в ссылке на ресурс иконки есть ошибка, что говорит о неосведомлённости или нежелании их автора взаимодействовать с жертвами.
Indicators of Compromise
SHA1
- 133388ea2bd362993198bba461c7273a2a3af1ec
- 2454820aef7c6289af85758df89976718013a5a4
- 267ed8df557c41cd322d4ed5dd1764018c74f611
- 41b2e3f0ddb3ceef2cddb09ca9edf4334461720c
- 57cc1ef9f762b1db9999772356cd8e6a70cb9964
- 5b830b5d5577ad8186e9ba4f7fdeee0b32c535e3
- 8596a6bb124e56f6d545b77e74c3b23f6f578f55
- 8bc4fadf5a929103b0c25c5f2f02da9c9ca67a1f
- a379e55be365ece1ca2b8f72b6c54bb8b5bfe4e9
- b65183cc886185a8c34860f68d3289d8e9dd84e3
