Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
CasaRiproduci attacchi ransomware Utilizza nuovi strumenti personalizzati
I ricercatori hanno scoperto due nuovi strumenti personalizzati sfruttati negli attacchi ransomware Play, poiché diversi attori delle minacce adottano sempre più strumenti proprietari per ottenere un vantaggio competitivo e adattare meglio i loro attacchi agli ambienti delle vittime.
Il team di cacciatori di minacce di Symantec ha trovato il gruppo dietro il ransomware Play utilizzando uno strumento personalizzato di scansione della rete Grixba per enumerare tutti i computer e gli utenti nel dominio e un eseguibile .NET che consente agli aggressori di copiare file dal servizio Copia Shadow del volume (VSS) che normalmente sono bloccati dal sistema operativo.
"L'uso di strumenti proprietari... offre agli operatori di ransomware un maggiore controllo sulle loro operazioni", hanno affermato i ricercatori in un'analisi di mercoledì. "Se uno strumento è ampiamente disponibile, può essere decodificato o adattato da altri aggressori, indebolendo potenzialmente l'efficacia dell'attacco iniziale. Mantenendo i propri strumenti proprietari ed esclusivi, le bande di ransomware possono mantenere il proprio vantaggio competitivo e massimizzare i propri profitti."
Il gruppo Balloonfly che sviluppa il ransomware Play, lanciato nel giugno 2022, ha effettuato diversi attacchi a doppia estorsione, incluso un recente attacco informatico alla città di Oakland, in California. Il gruppo ha già preso di mira i difetti di Microsoft Exchange, come l'aumento dei privilegi bug (CVE-2022-41080) e difetto di esecuzione del codice remoto (CVE-2022-41082).
Il gruppo non sembra gestire Play come un ransomware-as-a-service e i suoi strumenti personalizzati scoperti questa settimana possono dargli un vantaggio competitivo rispetto ad altri gruppi. Balloonfly ha sviluppato entrambi gli strumenti utilizzando un popolare strumento di sviluppo .NET chiamato Costura, che consente agli utenti di incorporare le dipendenze delle applicazioni in un unico eseguibile.
"Mantenendo i propri strumenti proprietari ed esclusivi, le bande di ransomware possono mantenere il proprio vantaggio competitivo e massimizzare i propri profitti."
L'infostealer .NET Grixba controlla ed enumera software, strumenti di amministrazione remota, diversi programmi di sicurezza e altro ancora e compila queste informazioni per l'esfiltrazione. L'altro strumento sfrutta la libreria AlphaVSS, un framework .NET per interagire con VSS, per copiare file dalle istantanee VSS prima della crittografia.
Sempre più gruppi si stanno allontanando dagli strumenti disponibili pubblicamente o dai semplici script per utilizzare invece strumenti completamente personalizzati, tra cui lo strumento di esfiltrazione dei dati Exmatter utilizzato in diversi attacchi ransomware BlackMatter del 2021, lo strumento di esfiltrazione dei dati personalizzato Exbyte sviluppato lo scorso anno da BlackByte e un programma basato su PowerShell strumento utilizzato da Vice Society.
Strumenti di esfiltrazione personalizzati come questi migliorano la velocità degli attacchi ma, come esemplificato dagli strumenti personalizzati del ransomware Play, possono anche aumentare la complessità e le capacità degli attacchi, ha affermato Dick O'Brien, principale analista di intelligence del gruppo di cacciatori di minacce Symantec.
"È possibile che gli attacchi stiano diventando sempre più complessi da eseguire, rendendo quindi necessaria l'automazione di alcuni passaggi", ha affermato O'Brien. "Cose come copiare file bloccati sono qualcosa che non siamo sicuri se gli aggressori si sarebbero presi la briga di fare qualche anno fa."
Oltre agli strumenti di esfiltrazione, gli autori delle minacce hanno sviluppato altri tipi di strumenti per espandere la catena di attacchi e aggiungere ulteriori livelli di complessità ai loro attacchi. Dal 2022, ad esempio, un sottogruppo del noto attore iraniano APT35 utilizza due impianti personalizzati per persistere in ambienti compromessi, eludere il rilevamento e distribuire malware di seconda fase.
"In un certo senso, potrebbe essere un segnale positivo perché suggerisce che gli aggressori sentono che il calore e troppi attacchi vengono scoperti prima che possano essere completati", ha detto O'Brien. "Stiamo anche vedendo che gli aggressori si impegnano maggiormente nel tentativo di disabilitare il software di sicurezza, il che suggerisce anche che vengono ostacolati più frequentemente."
Gli operatori del malware Qakbot hanno nuovamente cambiato tattica per adattarsi ai cambiamenti nelle difese.
Un nuovo RAT noto come SeroXen è in vendita su forum e piattaforme di social media e ha la capacità di eludere l'EDR e fornire...