Η αδυσώπητη ομάδα ransomware Play δημιούργησε δύο ξεχωριστά εργαλεία που βασίζονται στο .NET, το Grixba και το VSS Copying Tool, για να ενισχύσει την ισχύ των κυβερνοεπιθέσεών της.
Με τη βοήθεια αυτών των δύο εργαλείων, οι επιτιθέμενοι μπορούν να απαριθμήσουν τους χρήστες και τους υπολογιστές στα διεισδυτικά δίκτυα, να αποκτήσουν πληροφορίες σχετικά με την ασφάλεια, καθώς και λογισμικό αντιγράφων ασφαλείας και απομακρυσμένης διαχείρισης. Επιπλέον, είναι σε θέση να περικυκλώνουν κλειδωμένα αρχεία αντιγράφοντάς τα χωρίς κόπο από το Volume Shadow Copy Service (VSS).
Δείτε επίσης: Το Play ransomware υπεύθυνο για την επίθεση στην Rackspace
Καινοτόμες, εξατομικευμένες λύσεις
Το Grixba είναι ένα κακόβουλο εργαλείο που χρησιμοποιείται για την απόσπαση πληροφοριών και τη σάρωση δικτύων. Επιτρέπει στους χρήστες του να “σαρώνουν” άλλες συσκευές χρησιμοποιώντας WMI, WinRM, Remote Registry ή Remote Services, προκειμένου να αποκαλύψουν τι λογισμικό τρέχει σε αυτές.
Κατά την έναρξη της διαδικασίας σάρωσης, το Grixba θα εξετάσει διεξοδικά το σύστημά σας για προγράμματα προστασίας από ιούς και προγράμματα ασφαλείας, σουίτες EDR, εργαλεία δημιουργίας αντιγράφων ασφαλείας, εργαλεία απομακρυσμένης διαχείρισης, δημοφιλείς εφαρμογές γραφείου και DirectX, προκειμένου να εξακριβώσει το ακριβές μοντέλο του υπολογιστή που υποβάλλεται σε αξιολόγηση.
Το εργαλείο διατηρεί όλες τις πληροφορίες που συλλέγονται σε αρχεία CSV, τις συμπιέζει σε ένα αρχείο ZIP και στη συνέχεια τις μεταφέρει στον διακομιστή C2 των επιτιθέμενων, προσφέροντάς τους κρίσιμες πληροφορίες για το πώς να χαράξουν τη στρατηγική των επόμενων βημάτων της επίθεσής τους.
Η Symantec ανακάλυψε ένα άλλο προσαρμοσμένο εργαλείο στην επίθεση του Play ransomware – το VSS Copying Tool. Αυτό το πρόγραμμα επιτρέπει στους επιτιθέμενους να έχουν πρόσβαση στις λειτουργίες του Volume Shadow Copy Service (VSS) μέσω κλήσεων API με μια ενσωματωμένη βιβλιοθήκη AlphaVSS .NET, προσθέτοντας ένα επιπλέον επίπεδο ασφάλειας για τις κακόβουλες προσπάθειές τους.
Δείτε επίσης: Play ransomware: Διαρρέει data που έχουν κλαπεί από την πόλη του Όκλαντ
Η υπηρεσία Volume Shadow Copy, μια λειτουργία των Windows, προσφέρει τη δυνατότητα ασφαλούς αποθήκευσης αντιγράφων ασφαλείας των δεδομένων σας και επαναφοράς σε προηγούμενες εκδόσεις σε περίπτωση βλάβης του συστήματος ή απώλειας δεδομένων. Με αυτό το χρήσιμο εργαλείο, μπορείτε να δημιουργήσετε στιγμιότυπα του υπολογιστή σας ανά πάσα στιγμή για να είστε ήσυχοι.
Το VSS Copying Tool δίνει στο Play ransomware τη δυνατότητα να κλέβει αρχεία από υπάρχοντα shadow volume copies, ακόμη και αν αυτά προσπελαύνονται από ενεργές εφαρμογές.
Χρησιμοποιώντας το εργαλείο ανάπτυξης Costura .NET, η Symantec μπόρεσε να ερευνήσει δύο ξεχωριστές εφαρμογές που είχαν δημιουργηθεί σε εντελώς αυτόνομα εκτελέσιμα αρχεία. Δεν χρειάζονταν πρόσθετα dependencies – η ανάπτυξή τους σε παραβιασμένα συστήματα έγινε σημαντικά πιο εύχρηστη.
Με την ανάπτυξη προσαρμοσμένων εργαλείων, το Play ransomware απέδειξε ότι έχει δεσμευτεί να γίνεται όλο και πιο αποτελεσματικό και αποδοτικό στην εκτέλεση των κακόβουλων δραστηριοτήτων του.
Δείτε επίσης: Η ομάδα Play ransomware δημοσίευσε τα data της Royal Dirkzwager
Για να ξεκινήσει το 2021, το ransomware Play χτύπησε διάφορους εξέχοντες στόχους, όπως η πόλη του Όκλαντ στην Καλιφόρνια, η A10 Networks, η Arnold Clark και η Rackspace.
Πηγή πληροφοριών: bleepingcomputer.com
