Το post-exploitation toolkit Brute Ratel έχει γίνει cracked και τώρα κοινοποιείται δωρεάν σε ρωσόφωνες και αγγλόφωνες κοινότητες hacking.
Δείτε επίσης: Fast Company hack: Οι χάκερ στέλνουν ρατσιστικό μήνυμα μέσω του Apple News
Για όσους δεν είναι εξοικειωμένοι με το Brute Ratel C4 (BRC4), είναι ένα post-exploitation toolkit που δημιουργήθηκε από τον Chetan Nayak, έναν πρώην συνεργάτη της Mandiant και του CrowdStrike.
Οι Red teamers είναι επαγγελματίες της κυβερνοασφάλειας των οποίων η δουλειά είναι να προσπαθούν να παραβιάσουν ένα εταιρικό δίκτυο για να μάθουν τα ελαττώματα του, ενώ εκείνοι της blue team προσπαθούν να αμυνθούν από αυτές τις επιθέσεις.
Δείτε επίσης: To NullMixer dropper μολύνει Windows PCs με 12 malware ταυτόχρονα
Μετά από αυτές τις ασκήσεις, και οι δύο ομάδες συζητούν τι βρέθηκε ότι ενισχύει την άμυνα και ενισχύει την ασφάλεια.
Όπως με το Cobalt Strike, το Brute Ratel είναι ένα toolkit που χρησιμοποιείται από red teamers για να αναπτύξουν agents, που ονομάζονται badgers, σε συσκευές δικτύου που έχουν παραβιαστεί και να τους χρησιμοποιούν για να εκτελούν εντολές από απόσταση και να εξαπλώνονται περαιτέρω σε ένα δίκτυο.
Το Brute Ratel είναι cracked
Τα τελευταία χρόνια, οι cracked εκδόσεις του Cobalt Strike έχουν γίνει τόσο βαριά abused από απειλητικούς παράγοντες απειλών και συμμορίες ransomware που εντοπίζονται πιο εύκολα από το λογισμικό ασφαλείας.
Εξαιτίας αυτού, ορισμένοι απειλητικοί παράγοντες και συμμορίες ransomware έχουν ξεκινήσει να χρησιμοποιούν το Brute Ratel για τις επιθέσεις τους, φέροντας ότι δημιούργησαν ψεύτικες αμερικανικές εταιρείες για να περάσουν το σύστημα επαλήθευσης αδειών.
Ωστόσο, τα πράγματα πρόκειται να αλλάξουν, καθώς ο ερευνητής πληροφοριών για τις απειλές στον κυβερνοχώρο Will Thomas (γνωστός και ως BushidoToken) ανέφερε ότι ένα cracked αντίγραφο του Brute Ratel κυκλοφορεί τώρα ευρέως μεταξύ των απειλητικών παραγόντων σε διαδικτυακά hacking forums.
Μερικά από αυτά είναι τα BreachForums, CryptBB, RAMP, Exploit[.]in και Xss[.]is, καθώς και διάφορες ομάδες σε Telegram και Discord.
Από μια σύντομη αναζήτηση στα forums XSS και Breached φάνηκε ότι οι απειλητικοί παράγοντες έχουν δημιουργήσει πολλά θέματα όπου μοιράζονται την cracked έκδοση του Brute Ratel C4 έκδοση 1.2.2 από τα μέσα Σεπτεμβρίου.
Στο παρελθόν, ο προγραμματιστής του Brute Ratel, Chetan Nayak, είπε στο BleepingComputer ότι θα μπορούσε να ανακαλέσει τις άδειες για οποιονδήποτε πελάτη κάνει κατάχρηση του Brute Ratel για κακόβουλους σκοπούς.
Ωστόσο, ο Nayak ισχυρίζεται ότι η uncracked έκδοση μεταφορτώθηκε στο VirusTotal, το οποίο στη συνέχεια έγινε crack από το “Russian group Molecules” για να αφαιρεθεί ο έλεγχος άδειας χρήσης.
Δείτε επίσης: Bl00dy ransomware: Χρησιμοποιεί έναν LockBit ransomware builder που διέρρευσε πρόσφατα
Ανεξάρτητα από το πώς διέρρευσε το λογισμικό, δυστυχώς είναι πολύ αργά.
Ο Thomas είπε στο BleepingComputer ότι η cracked έκδοση λειτουργεί και δεν φαίνεται να έχει παραβιαστεί, πράγμα που σημαίνει ότι σύντομα θα δούμε ευρεία χρήση του toolkit.
Οι απειλητικοί φορείς έχουν ήδη αρχίσει να μοιράζονται screenshot σε hacking forums από αυτούς που δοκιμάζουν το toolkit.
Αυτό που είναι πιο ανησυχητικό για τον Thomas είναι ότι το Brute Ratel έχει τη δυνατότητα να δημιουργεί shellcode που μέχρι στιγμής δεν εντοπίζεται εύκολα από το λογισμικό ασφαλείας.
Ο Thomas συνιστά στους διαχειριστές ασφάλειας και δικτύου να διαβάσουν το blog της MdSec στο Brute Ratel C4 για να μάθουν περισσότερα σχετικά με τον εντοπισμό του λογισμικού στα δίκτυά τους.
Πηγή πληροφοριών: bleepingcomputer.com
