Η ομάδα ransomware γνωστή ως RansomHouse, δημιούργησε ένα νέο εργαλείο με το όνομα “MrAgent” που αυτοματοποιεί την εγκατάσταση του data encrypter της σε πολλούς υπολογιστές με υποστήριξη για το λογισμικό VMware ESXi.
Δείτε επίσης: VMware: Κρίσιμη παράκαμψη ταυτότητας στο VCD Appliance
Το RansomHouse είναι μια επιχείρηση ransomware-as-a-service (RaaS) που εμφανίστηκε τον Δεκέμβριο του 2021 και χρησιμοποιεί τακτική διπλού εκβιασμού. Τον Μάιο του 2022, η επιχείρηση ίδρυσε μια σελίδα εκφοβισμού θυμάτων στο Dark Web.
Παρότι η ομάδα RansomHouse δεν ήταν τόσο ενεργή όσο πιο φημισμένες ομάδες όπως οι LockBit, ALPHV/Blackcat, Play ή Clop, σύμφωνα με την έκθεση της Trellix, επικεντρώθηκε σε μεγάλες οργανώσεις κατά τη διάρκεια του περασμένου έτους.
Οι ομάδες Ransomware στοχεύουν τους διακομιστές ESXi επειδή αυτοί αναπτύσσουν και εξυπηρετούν εικονικούς υπολογιστές που συνήθως περιέχουν αξιόλογα δεδομένα που μπορούν να χρησιμοποιηθούν στην επόμενη διαδικασία εκβιασμού. Επιπλέον, οι διακομιστές ESXi συχνά εκτελούν κρίσιμες εφαρμογές και υπηρεσίες για επιχειρήσεις, συμπεριλαμβανομένων βάσεων δεδομένων και διακομιστών ηλεκτρονικού ταχυδρομείου, έτσι η λειτουργική αναταραχή από την επίθεση ransomware είναι μεγιστοποιημένη.
Οι αναλυτές της Trellix ανιχνεύσαν ένα νέο binary που χρησιμοποιείται στις επιθέσεις RansomHouse και φαίνεται να έχει σχεδιαστεί ειδικά για την επιτάχυνση των επιθέσεων MrAgent της ομάδας, σε συστήματα VMware ESXi.
Ο ερευνητής Florian Roth πρωτοανακάλυψε το δείγμα, ενώ η ομάδα MalwareHunterTeam ήταν η πρώτη που ανέφερε γι’ αυτό με ένα tweet τον Σεπτέμβριο του 2023.
Η βασική λειτουργία του MrAgent είναι να αναγνωρίζει το σύστημα φιλοξενίας, να απενεργοποιεί το τείχος προστασίας του και στη συνέχεια να αυτοματοποιεί τη διαδικασία ανάπτυξης κακόβουλου λογισμικού, που αποκτά πρόσβαση σε πολλαπλούς hypervisors ταυτόχρονα, θέτοντας σε κίνδυνο όλες τις διαχειριζόμενες εικονικές μηχανές.
Δείτε ακόμα: VMware: Δημόσια εκμετάλλευση ελαττώματος RCE στο vRealize
Το εργαλείο υποστηρίζει προσαρμοσμένες ρυθμίσεις για την ανάπτυξη κακόβουλου λογισμικού, που λαμβάνονται απευθείας από τον διακομιστή ελέγχου (C2). Οι διαμορφώσεις αυτές περιλαμβάνουν τον καθορισμό κωδικών πρόσβασης στο υποκείμενο, τον προγραμματισμό της εντολής κρυπτογράφησης και των ορισμάτων της, τον προγραμματισμό ενός γεγονότος κρυπτογράφησης και την αλλαγή του μηνύματος καλωσορίσματος που εμφανίζεται στην οθόνη του υποκείμενου (για να εμφανίσει μια απαίτηση για λύτρα).
Το MrAgent της RansomHouse, μπορεί επίσης να εκτελέσει τοπικές εντολές στον υποδοχέα που λαμβάνει από τον C2, για να διαγράψει αρχεία, να τερματίσει ενεργές συνεδρίες SSH για να αποτρέψει παρεμβολές κατά τη διάρκεια διαδικασίας κρυπτογράφησης και να στείλει πίσω πληροφορίες για τις εκτελούμενες εικονικές μηχανές.
Με την απενεργοποίηση του τείχους προστασίας και την πιθανή διακοπή non-root συνεδριών SSH, το MrAgent ελαχιστοποιεί τις πιθανότητες ανίχνευσης και παρέμβασης από τους διαχειριστές, ενώ ταυτόχρονα αυξάνει την επίδραση της επίθεσης, στοχεύοντας όλες τις προσβάσιμες εικονικές μηχανές ταυτόχρονα.
Η Trellix αναφέρει ότι εντόπισε μια έκδοση του MrAgent για τα Windows, η οποία διατηρεί την ίδια βασική λειτουργικότητα, αλλά περιλαμβάνει προσαρμογές για το λειτουργικό σύστημα, όπως η χρήση του PowerShell για ορισμένες εργασίες.
Η χρήση του εργαλείου MrAgent σε διάφορες πλατφόρμες αποδεικνύει την πρόθεση της RansomHouse να επεκτείνει την εφαρμογή του εργαλείου και να μεγιστοποιήσει την επίδραση των καμπανιών τους, όταν ο στόχος χρησιμοποιεί τόσο συστήματα Windows όσο και Linux.
Οι επιπτώσεις στην ασφάλεια που μπορεί να έχει ένα εργαλείο σαν το MrAgent είναι σοβαρές, για αυτό οι ερευνητές ασφαλείας πρέπει να εφαρμόσουν ολοκληρωμένα και αξιόπιστα μέτρα ασφαλείας, συμπεριλαμβανομένων τακτικών ενημερώσεων λογισμικού, ισχυρών ελέγχων πρόσβασης, παρακολούθησης δικτύου και καταγραφής, για να αντιμετωπίσουν τέτοιους κινδύνους.
Δείτε επίσης: Broadcom: Πρόκειται να απολύσει 1.300 υπαλλήλους της VMware
Πώς λειτουργεί το Ransomware-as-a-Service;
Το Ransomware-as-a-Service (RaaS) είναι ένα είδος εγκληματικής δραστηριότητας στον κυβερνοχώρο, όπου οι εγκληματίες προσφέρουν υπηρεσίες ransomware ως υπηρεσία. Αυτό σημαίνει ότι οι εγκληματίες δημιουργούν και πωλούν ransomware σε άλλους εγκληματίες, οι οποίοι μπορούν να το χρησιμοποιήσουν για να εκβιάσουν τα θύματά τους.
Οι επιθέσεις RaaS συνήθως περιλαμβάνουν την εισβολή σε ένα σύστημα μέσω τεχνικών όπως το phishing ή η εκμετάλλευση αδυναμιών του λογισμικού. Αφού ο εγκληματίας έχει πρόσβαση στο σύστημα, το ransomware κρυπτογραφεί τα δεδομένα του θύματος και απαιτεί λύτρα για την αποκρυπτογράφησή τους.Το RaaS είναι ιδιαίτερα επικερδές για τους εγκληματίες, καθώς τους επιτρέπει να εκτελούν επιθέσεις χωρίς να χρειάζεται να έχουν εξειδικευμένες γνώσεις στην κυβερνοασφάλεια.
Για να αντιμετωπίσουν το RaaS, οι οργανισμοί πρέπει να εφαρμόσουν ισχυρές πρακτικές κυβερνοασφάλειας, όπως η εκπαίδευση των χρηστών για την αναγνώριση και αποφυγή των επιθέσεων phishing, η ενημέρωση και διατήρηση του λογισμικού για να αποτρέψουν την εκμετάλλευση των αδυναμιών και η χρήση λύσεων ανίχνευσης και απόκρισης σε περιστατικά παραβίασης της ασφάλειας.
Πηγή: bleepingcomputer
