O grupo de ransomware Play desenvolveu duas ferramentas personalizadas em .NET, chamadas Grixba e VSS Copying Tool, que são usadas para melhorar a eficácia de seus ataques cibernéticos.
As duas ferramentas permitem que os atacantes enumerem usuários e computadores em redes comprometidas, reúnam informações sobre segurança, backup e software de administração remota, e copiem facilmente arquivos do Volume Shadow Copy Service (VSS) para contornar arquivos bloqueados.
Pesquisadores de segurança da Symantec descobriram e analisaram as novas ferramentas e compartilharam suas descobertas com o BleepingComputer antes de publicar seu relatório.
Grixba é uma ferramenta de varredura de rede e roubo de informações usada para enumerar usuários e computadores em um domínio.
Ele também suporta um modo de "varredura" que usa WMI, WinRM, Registro Remoto e Serviços Remotos para determinar quais softwares são executados nos dispositivos de rede.
Ao realizar a função de varredura, Grixba verifica programas antivírus e de segurança, suítes EDR, ferramentas de backup e ferramentas de administração remota.
Além disso, o scanner verifica aplicativos de escritório comuns e DirectX, potencialmente para determinar o tipo de computador que está sendo escaneado.
A ferramenta salva todos os dados coletados em arquivos CSV, compacta-os em um arquivo ZIP e, em seguida, os exfiltra para o servidor C2 dos atacantes, fornecendo informações vitais sobre como planejar os próximos passos do ataque.
A segunda ferramenta personalizada detectada pela Symantec nos ataques de ransomware Play é a VSS Copying Tool, que permite que os atacantes interajam com o Volume Shadow Copy Service (VSS) por meio de chamadas de API usando uma biblioteca AlphaVSS .NET integrada.
O Volume Shadow Copy Service é um recurso do Windows que permite aos usuários criar instantâneos do sistema e cópias de backup de seus dados em pontos específicos no tempo e restaurá-los em caso de perda de dados ou corrupção do sistema.
A VSS Copying Tool permite que o ransomware Play roube arquivos de cópias de volume de sombra existentes, mesmo quando esses arquivos estão sendo usados por aplicativos.
Ambas as ferramentas analisadas pela Symantec foram escritas usando a ferramenta de desenvolvimento Costura .NET, que pode construir executáveis independentes que não requerem dependências, tornando mais fácil implantar em sistemas comprometidos.
O uso de ferramentas personalizadas pelo ransomware Play indica que o notório ator de ameaças visa aumentar a eficácia de seus ataques e executar suas tarefas maliciosas de maneira mais eficiente.
Desde o início do ano, o ransomware Play teve vários alvos de alto perfil, incluindo a cidade de Oakland na Califórnia, A10 Networks, Arnold Clark e Rackspace.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...