Hackers προωθούν το νέο Exfiltrator-22 framework που έχει σχεδιαστεί για να μεταδίδει ransomware σε εταιρικά δίκτυα αποφεύγοντας τον εντοπισμό. Μάλιστα φαίνεται πως υπάρχει σύνδεση και με το LockBit ransomware.
Οι αναλυτές απειλών της CYFIRMA υποστηρίζουν πως αυτό το καινούργιο framework έχει δημιουργηθεί από πρώην συνεργάτες της LockBit 3.0, οι οποίοι είναι ειδικοί σε ανάλυση και αποφυγή εντοπισμού, προσφέροντας μια ισχυρή λύση με αντάλλαγμα ένα συνδρομητικό κόστος. Οι τιμές για το Exfiltrator-22 έχουν ένα εύρος από $1000/μήνα και $5000 εφάπαξ, προσφέροντας συνεχόμενες ενημερώσεις και υποστήριξη.
Οι αγοραστές αυτού του framework έχουν πρόσβαση σε ένα panel διαχειριστή που φιλοξενείται σε ένα αδιαπέραστο VPS (virtual private server) από το οποίο μπορούν να ελέγξουν το malware του framework και να δώσουν διάφορες εντολές σε συστήματα που έχουν τεθεί σε κίνδυνο.
Η πρώτη έκδοση του Exfiltrator-22 (EX-22) εμφανίστηκε στις 27 Νοεμβρίου 2022 και περίπου 10 μέρες μετά, οι συγγραφείς του έφτιαξαν ένα κανάλι στο Telegram για να το προωθήσουν σε άλλους κυβερνοεγκληματίες.
Δείτε επίσης : Ερευνητές αναλύουν την «επιχείρηση» του LockBit ransomware
Μέχρι το τέλος του χρόνου, ανακοινώθηκαν νέες ιδιότητες που βοήθησαν στην απόκρυψη της κίνησης σε παραβιασμένες συσκευές, δείχνοντας πως το framework είναι σε ενεργή ανάπτυξη. Τον Ιανουάριο 2023, το EX-22 κρίνεται να είναι κατά 87% έτοιμο από τους δημιουργούς του, ανακοινώνοντας τις συνδρομητικές τιμές με σκοπό να προσκαλέσουν ενδιαφερόμενους χρήστες να αγοράσουν την πρόσβαση στο εργαλείο αυτό. Στις 10 Φεβρουαρίου 2023, οι hackers ανέβασαν 2 βίντεο στο Youtube δείχνοντας την πλευρική κίνηση αλλά και τις ικανότητες του στην εξάπλωση ransomware.
Πρόταση: Emails προειδοποιούν για παραβίαση πνευματικών δικαιωμάτων και εγκαθιστούν το LockBit ransomware
Τα χαρακτηριστικά του EX-22
To EX-22 έχει πολλά χαρακτηριστικά κοινά με παρόμοια εργαλεία αλλά επιπλέον χαρακτηριστικά που ωθούν στην ανάπτυξη ransomware και την κλοπή δεδομένων.
Κάποια από αυτά είναι:
- Δημιουργία ενός αντίστροφου κελύφους με αυξημένα προνόμια.
- Μεταφόρτωση αρχείων στο σύστημα που έχει παραβιαστεί ή πραγματοποιήσει λήψη αρχείων από τον κεντρικό υπολογιστή στο C2.
- Ενεργοποίηση ενός keylogger για καταγραφή εισόδου από το πληκτρολόγιο.
- Ενεργοποίηση μονάδας ransomware για κρυπτογράφηση αρχείων στη μολυσμένη συσκευή.
- Λήψη στιγμιότυπου οθόνης από τον υπολογιστή του θύματος.
- Εκκίνηση ζωντανής συνεδρίας VNC (Virtual Network Computing) για πρόσβαση σε πραγματικό χρόνο στη συσκευή που έχει παραβιαστεί.
- Απόκτηση υψηλότερων προνομίων στη μολυσμένη συσκευή.
- Εδραίωση επιμονής μεταξύ των επανεκκινήσεων του συστήματος.
- Ενεργοποίηση μονάδας τύπου worm που διαδίδει το κακόβουλο λογισμικό σε άλλες συσκευές στο ίδιο δίκτυο ή στο δημόσιο Διαδίκτυο.
- Εξαγωγή δεδομένων (κωδικοί πρόσβασης και διακριτικά) από την LSAAS(Local Security Authority Subsystem Service).
- Δημιουργία κρυπτογραφικά κατακερματισμένων αρχείων στον κεντρικό υπολογιστή για να παρακολουθούνται στενά οι τοποθεσίες των αρχείων και τα συμβάντα αλλαγής περιεχομένου.
- Λήψη της λίστας των διεργασιών που εκτελούνται στη μολυσμένη συσκευή.
- Εξαγωγή ελέγχου ταυτότητας από το σύστημα που έχει παραβιαστεί
Οι παραπάνω εντολές στέλνονται στα παραβιασμένα συστήματα μέσω του προγράμματος κονσόλας για Windows ‘EX22 Command & Control’. Τα αποτελέσματα από τις εντολές μετά επιστρέφουν στο command and control server και εμφανίζονται απευθείας στην εφαρμογή κονσόλας.
Μέσω του web panel της υπηρεσίας, οι κυβερνοεγκληματίες μπορούν επίσης να ορίσουν προγραμματισμένες εργασίες, να ενημερώσουν τους πράκτορες σε μια νέα έκδοση, να αλλάξουν την σύνθεση μιας καμπάνιας ή να δημιουργήσουν νέα.
Σύνδεση με τα μέλη του LockBit ransomware
Η ομάδα της CYFIRMA έχει στοιχεία πως συνεργάτες της LockBit 3.0 ή μέλη της ομάδας ανάπτυξης του ransomware βρίσκονται από πίσω.
Αρχικά, παρατήρησαν πως χρησιμοποιούν την ίδια τεχνική domain fronting που σχετίζεται με το LockBit και το plugin Meek του TOR, το οποίο βοηθάει στην απόκρυψη της κίνησης μέσα σε γνήσιες HTTPS συνδέσεις σε γνωστές πλατφόρμες. Επιπλέον, βρέθηκε πως το EX-22 χρησιμοποιεί την ίδια υποδομή C2 που είχε εκτεθεί σε προηγούμενο LockBit 3.0 sample.
Διαβάστε επίσης: Lockbit ransomware: Το FBI δίνει λεπτομέρειες για την επιχείρηση και συμβουλές προστασίας
Δυστυχώς, το framework της Exfiltrator-22 φαίνεται να έχει δημιουργηθεί από ειδικούς πάνω στο malware οι οποίοι έχουν τις ικανότητες να αναπτύξουν framework αποφυγής. Παρόλο τις υψηλές τιμές του, αναμένετε να υπάρξει μεγάλο ενδιαφέρον για αυτό το πλαίσιο στην κοινότητα των κυβερνοεγκληματίων, με αποτέλεσμα να υπάρξει περαιτέρω ανάπτυξη στον κώδικα και στην βελτίωση των χαρακτηριστικών.
