Операция RansomHouse создала новый инструмент под названием MrAgent, который автоматизирует развертывание шифровальщика данных на нескольких гипервизорах VMware ESXi.
RansomHouse - это операция "вымогательство как услуга" (RaaS), появившаяся в декабре 2021 года и использующая тактику двойного вымогательства. В мае 2022 года эта операция создала специальную страницу для вымогателей-жертв в темной паутине.
Хотя банда RansomHouse была не столь активна, как более известные группировки, такие как LockBit, ALPHV/Blackcat, Play или Clop, Trellix сообщает. что в течение прошлого года она атаковала крупные организации.
MrAgent против ESXi
Группы вымогателей нацеливаются на серверы ESXi, поскольку на них развернуты и обслуживаются виртуальные компьютеры, на которых обычно хранятся ценные данные, которые могут быть использованы в последующем процессе вымогательства.
Кроме того, на серверах ESXi часто запускаются критически важные для бизнеса приложения и сервисы, включая базы данных и серверы электронной почты, поэтому нарушение работы в результате атаки вымогателей становится максимальным.
Аналитики Trellix в сотрудничестве с Northwave обнаружили новый двоичный файл, используемый в атаках RansomHouse, который, судя по всему, был специально разработан для оптимизации атак банды на системы ESXi.
Впервые образец был обнаружен исследователем Флорианом Ротом, а MalwareHunterTeam первым сообщил о нем в твиттере в сентябре 2023 года..
Основная функция MrAgent заключается в идентификации хост-системы, отключении ее брандмауэра и последующей автоматизации процесса развертывания вымогательского ПО на нескольких гипервизорах одновременно, что приводит к компрометации всех управляемых виртуальных машин.
Инструмент поддерживает конфигурации для развертывания вымогательского ПО, полученные непосредственно с командно-контрольного (C2) сервера.
Эти конфигурации включают установку паролей на гипервизоре, настройку команды encrypter и ее аргументов, планирование события шифрования и изменение приветственного сообщения, отображаемого на мониторе гипервизора (для отображения уведомления о выкупе).
MrAgent также может выполнять локальные команды на гипервизоре, полученные от C2, для удаления файлов, сброса активных SSH-сессий для предотвращения вмешательства в процесс шифрования и отправки информации о запущенных виртуальных машинах.
Отключая брандмауэр и потенциально отменяя нерутовые SSH-сессии, MrAgent минимизирует шансы на обнаружение и вмешательство администраторов, одновременно увеличивая эффект атаки за счет одновременного поражения всех доступных виртуальных машин.
Trellix утверждает, что обнаружила Windows-версию MrAgent, которая сохраняет ту же основную функциональность, но имеет адаптацию под конкретную ОС, например, использует PowerShell для выполнения определенных задач.
Использование MrAgent на разных платформах свидетельствует о намерении RansomHouse расширить возможности применения инструмента и добиться максимального эффекта от своих кампаний, когда цель использует как Windows, так и Linux-системы.
"Усилия по (дальнейшей) автоматизации шагов, которые в противном случае часто выполняются вручную, свидетельствуют о заинтересованности и желании атакующего филиала атаковать крупные сети", - говорится в отчете Trellix.
Такие инструменты, как MrAgent, имеют серьезные последствия для безопасности, поэтому для защиты от подобных угроз защитники должны применять комплексные и надежные меры безопасности, включая регулярное обновление программного обеспечения, строгий контроль доступа, мониторинг сети и ведение журналов".
Обновление 2/16 - Сообщение обновлено, чтобы отдать должное исследователям, первыми обнаружившим MrAgent.
