A operação de ransomware RansomHouse criou uma nova ferramenta chamada 'MrAgent' que automatiza a distribuição de seu criptografador de dados em vários hipervisores VMware ESXi.
RansomHouse é uma operação de ransomware-as-a-service (RaaS) que surgiu em dezembro de 2021 e está usando táticas de extorsão dupla.
Em maio de 2022, a operação estabeleceu uma página dedicada à extorsão de vítimas na dark web.
Embora a gangue RansomHouse não tenha sido tão ativa quanto grupos mais infames como LockBit, ALPHV/Blackcat, Play ou Clop, a Trellix relata que ela direcionou suas ações à organizações de grande porte durante o ano passado.
Os grupos de ransomware visam os servidores ESXi porque eles implantam e fornecem computadores virtuais que normalmente possuem dados valiosos que podem ser usados no processo subsequente de extorsão.
Além disso, os servidores ESXi geralmente executam aplicativos e serviços críticos para empresas, incluindo bancos de dados e servidores de e-mail, maximizando a interrupção operacional do ataque de ransomware.
Analistas da Trellix, em colaboração com a Northwave, identificaram um novo binário usado nos ataques do RansomHouse que parece ser projetado especificamente para agilizar os ataques da gangue a sistemas ESXi.
O modelo foi descoberto pela primeira vez pelo pesquisador Florian Roth, enquanto o MalwareHunterTeam foi o primeiro a tweetar sobre ele em setembro de 2023.
A função principal do MrAgent é identificar o sistema host, desligar seu firewall e então automatizar o processo de distribuição do ransomware em vários hipervisores simultaneamente, comprometendo todas as VMs gerenciadas.
A ferramenta suporta configurações personalizadas para a distribuição de ransomware recebida diretamente do servidor de comando e controle (C2).
Essas configurações incluem a definição de senhas no hipervisor, a configuração do comando criptografador e suas variáveis, a programação de um evento de criptografia e a alteração da mensagem de boas-vindas exibida no monitor do hipervisor (para exibir um aviso de resgate).
MrAgent também pode executar comandos locais no hipervisor recebidos novamente do C2 para excluir arquivos, derrubar sessões SSH ativas para evitar interferências durante o processo de criptografia e enviar informações sobre as VMs em execução.
Ao desativar o firewall e potencialmente encerrar sessões SSH não-root, o MrAgent minimiza as chances de detecção e intervenção por parte dos administradores, aumentando simultaneamente o impacto do ataque ao apontar para todas as VMs acessíveis de uma vez.
A Trellix diz que encontrou uma versão do MrAgent para Windows, que mantém a mesma funcionalidade principal, mas apresenta adaptações específicas do sistema operacional, como o uso do PowerShell para determinadas tarefas.
O uso da ferramenta MrAgent em diferentes plataformas mostra a intenção da RansomHouse de estender a aplicabilidade da ferramenta e maximizar o impacto de suas campanhas quando o alvo usa tanto sistemas Windows quanto Linux.
"Os esforços para automatizar ainda mais os passos que geralmente são executados manualmente mostram tanto o interesse quanto a disposição do afiliado atacante em atingir grandes redes", diz a Trellix no relatório.
As implicações de segurança de ferramentas como o MrAgent são graves, então os defensores devem implementar medidas de segurança abrangentes e robustas, incluindo atualizações regulares de software, controles de acesso fortes, monitoramento de rede e registro para se defender contra tais ameaças.
Atualização 16/02 - Post atualizado para dar crédito aos pesquisadores que identificaram o MrAgent pela primeira vez.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...