A gangue de ransomware Play usa uma ferramenta personalizada de roubo de dados do Shadow Volume Copy
19 de Abril de 2023

O grupo de ransomware Play desenvolveu duas ferramentas personalizadas em .NET, chamadas Grixba e VSS Copying Tool, que são usadas para melhorar a eficácia de seus ataques cibernéticos.

As duas ferramentas permitem que os atacantes enumerem usuários e computadores em redes comprometidas, reúnam informações sobre segurança, backup e software de administração remota, e copiem facilmente arquivos do Volume Shadow Copy Service (VSS) para contornar arquivos bloqueados.

Pesquisadores de segurança da Symantec descobriram e analisaram as novas ferramentas e compartilharam suas descobertas com o BleepingComputer antes de publicar seu relatório.

Grixba é uma ferramenta de varredura de rede e roubo de informações usada para enumerar usuários e computadores em um domínio.

Ele também suporta um modo de "varredura" que usa WMI, WinRM, Registro Remoto e Serviços Remotos para determinar quais softwares são executados nos dispositivos de rede.

Ao realizar a função de varredura, Grixba verifica programas antivírus e de segurança, suítes EDR, ferramentas de backup e ferramentas de administração remota.

Além disso, o scanner verifica aplicativos de escritório comuns e DirectX, potencialmente para determinar o tipo de computador que está sendo escaneado.

A ferramenta salva todos os dados coletados em arquivos CSV, compacta-os em um arquivo ZIP e, em seguida, os exfiltra para o servidor C2 dos atacantes, fornecendo informações vitais sobre como planejar os próximos passos do ataque.

A segunda ferramenta personalizada detectada pela Symantec nos ataques de ransomware Play é a VSS Copying Tool, que permite que os atacantes interajam com o Volume Shadow Copy Service (VSS) por meio de chamadas de API usando uma biblioteca AlphaVSS .NET integrada.

O Volume Shadow Copy Service é um recurso do Windows que permite aos usuários criar instantâneos do sistema e cópias de backup de seus dados em pontos específicos no tempo e restaurá-los em caso de perda de dados ou corrupção do sistema.

A VSS Copying Tool permite que o ransomware Play roube arquivos de cópias de volume de sombra existentes, mesmo quando esses arquivos estão sendo usados por aplicativos.

Ambas as ferramentas analisadas pela Symantec foram escritas usando a ferramenta de desenvolvimento Costura .NET, que pode construir executáveis independentes que não requerem dependências, tornando mais fácil implantar em sistemas comprometidos.

O uso de ferramentas personalizadas pelo ransomware Play indica que o notório ator de ameaças visa aumentar a eficácia de seus ataques e executar suas tarefas maliciosas de maneira mais eficiente.

Desde o início do ano, o ransomware Play teve vários alvos de alto perfil, incluindo a cidade de Oakland na Califórnia, A10 Networks, Arnold Clark e Rackspace.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...