Ransomhouse fidye yazılımı işlemi, veri şifresinin birden fazla VMware ESXI hipervizörüne yerleştirilmesini otomatikleştiren 'Mragent' adlı yeni bir araç oluşturdu.
Ransomhouse, Aralık 2021'de ortaya çıkan ve çift gasp taktikleri kullanan bir hizmet olarak fidye yazılımı (RAAS) operasyonudur. Mayıs 2022'de operasyon karanlık ağda özel bir kurban gasp sayfası oluşturdu.
Ransomhouse çetesi Lockbit, Alphv/Blackcat, Play veya Clop gibi daha meşhur gruplar kadar aktif olmasa da Trellix, geçen yıl büyük boyutlu kuruluşları hedeflediğini bildiriyor.
Fidye yazılımı grupları ESXI sunucularını hedefler, çünkü genellikle sonraki gasp işleminde kullanılabilecek değerli verileri tutan sanal bilgisayarlar dağıtır ve hizmet ederler.
Ayrıca, ESXI sunucuları genellikle veritabanları ve e -posta sunucuları da dahil olmak üzere işletmeler için kritik uygulamalar ve hizmetler çalıştırır, bu nedenle fidye yazılımı saldırısından operasyonel bozulma en üst düzeye çıkarılır.
Trellix analistleri, Northwave ile işbirliği içinde, Ransomhouse saldırılarında ESXI sistemlerine yapılan çetelerin saldırılarını düzene sokmak için özel olarak tasarlanmış gibi görünen yeni bir ikili tespit ettiler.
Örnek ilk olarak araştırmacı Florian Roth tarafından keşfedilirken, Malwarehunterteam Eylül 2023'te ilk tweet attı.
MRAGENT'in temel işlevi, ana bilgisayar sistemini tanımlamak, güvenlik duvarını kapatmak ve daha sonra fidye yazılımı dağıtım işlemini aynı anda birden fazla hipervizör boyunca otomatikleştirmektir ve tüm yönetilen VM'leri tehlikeye atar.
Araç, doğrudan Komut ve Kontrol (C2) sunucusundan alınan fidye yazılımı dağıtım için özel yapılandırmaları destekler.
Bu yapılandırmalar, hipervizörde şifreler ayarlaması, şifreli komutun yapılandırılması ve argümanlarının yapılandırılması, bir şifreleme olayı planlaması ve hipervizörün monitöründe görüntülenen hoş geldiniz mesajını (fidye bildirimi görüntülemek için) değiştirmeyi içerir.
MRAGENT ayrıca, dosyaları silmek için C2'den tekrar alınan hipervizörde yerel komutları yürütebilir, şifreleme işlemi sırasında paraziti önlemek için etkin SSH oturumlarını bırakabilir ve çalışan VM'ler hakkında bilgi gönderebilir.
Güvenlik duvarını devre dışı bırakarak ve potansiyel olarak kök dışı SSH seanslarını bırakarak Mragent, yöneticiler tarafından tespit ve müdahale şansını en aza indirirken, aynı anda ulaşılabilir tüm VM'leri bir kerede hedefleyerek saldırının etkisini arttırır.
Trellix, MRAGENT'in aynı temel işlevselliği koruyan ancak belirli görevler için PowerShell'i kullanma gibi işletim sistemine özgü uyarlamalara sahip bir Windows sürümünü tespit ettiğini söylüyor.
MRAGENT aracını farklı platformlarda kullanma, Ransomhouse'un hedef hem Windows hem de Linux sistemlerini kullandığında aracın uygulanabilirliğini genişletme ve kampanyalarının etkisini en üst düzeye çıkarma niyetini gösterir.
Trellix, "Aksi takdirde sıklıkla yürütülen adımları (daha fazla) otomatikleştirme çabaları, saldıran bağlı kuruluşun büyük ağları hedeflemek için hem ilgisini hem de istekliliğini göstermektedir." Diyor.
MRAGENT gibi araçların güvenlik sonuçları şiddetlidir, bu nedenle savunucular, düzenli yazılım güncellemeleri, güçlü erişim kontrolleri, ağ izleme ve bu tür tehditlere karşı savunmak için günlüğe kaydetme gibi kapsamlı ve sağlam güvenlik önlemleri uygulamalıdır.
GÜNCELLEME 2/16 - İlk önce mragent'i tespit eden araştırmacılara kredi vermek için güncellendi
MGM Casino'nun ESXI sunucularının fidye yazılımı saldırısında şifrelendiği iddia ediliyor
Alphv Fidye Yazılımı İddiaları Loandepot, İhtiyatlı Finansal İhlaller
2021'de sökülen Netwalker Operasyonuna bağlı alfa fidye yazılımı
US, ALPHV Fidye Yazılımı Çetesi hakkında ipuçları için 15 milyon dolara kadar sunuyor
Lockbit, Fulton County, Georgia'da fidye yazılımı saldırısını iddia ediyor
Kaynak: Bleeping Computer