Η Trend Micro τον Ιούλιο ερεύνησε μια σειρά επιθέσεων ransomware στην περιοχή της Λατινικής Αμερικής που στόχευαν κρατικούς φορείς, τα οποία αρχικά αποδίδονταν σε έναν νέο παίκτη γνωστό ως Play ransomware. Το όνομα αυτού του ransomware προήλθε από τη συμπεριφορά του, καθώς προσθέτει την επέκταση “.play” μετά την κρυπτογράφηση αρχείων. Το σημείωμά του για λύτρα περιέχει τη μοναδική λέξη, “PLAY” και τη διεύθυνση email επικοινωνίας της ομάδας ransomware. Τα θύματα αυτού του ransomware εμφανίστηκαν για πρώτη φορά στα φόρουμ του Bleeping Computer τον Ιούνιο του 2022. Ένα μήνα αργότερα, περισσότερες λεπτομέρειες σχετικά με το ransomware Play δημοσιεύθηκαν στον ιστότοπο “No-logs No breach”.

Δείτε επίσης: Η QNAP διορθώνει zero-day bug που χρησιμοποιείται από το DeadBolt ransomware

Περαιτέρω ανάλυση αυτών των λοιμώξεων ransomware, ωστόσο, αποκάλυψε ότι το Play χρησιμοποιεί πολλές τακτικές που ακολουθούν το playbook τόσο του Hive όσο και του Nokoyawa ransomware, συμπεριλαμβανομένων ομοιοτήτων στα ονόματα αρχείων και τις διαδρομές αρχείων των αντίστοιχων εργαλείων και payloads. Νωρίτερα μέσα στην χρονιά, βρήκαμε στοιχεία που υποδηλώνουν ότι οι επιτιθέμενοι πίσω από το Nokayawa σχετίζονται με εκείνους πίσω από το Hive, λόγω των πολλών ομοιοτήτων μεταξύ των αλυσίδων επίθεσης τους.

Δείτε επίσης: Σχολική περιφέρεια Los Angeles Unified: Επλήγη από ransomware

Συγκεκριμένα, μια συμπεριφορά που διαφοροποιεί το Play ransomware από το Hive και το Nokoyawa είναι η χρήση του AdFind, ενός εργαλείου αναζήτησης γραμμής εντολών που μπορεί να συλλέγει πληροφορίες από το Active Directory (AD), ως μέσο ανακάλυψης. Το Hive, από την άλλη πλευρά, έχει παρατηρηθεί ότι χρησιμοποιεί εργαλεία όπως το TrojanSpy.DATASPY trojan για τη συλλογή πληροφοριών στο σύστημα ενός θύματος.

Σχετικές καμπάνιες malware

Οι πολλές κοινές τακτικές και τα εργαλεία τους υποδηλώνουν μεγάλη πιθανότητα συνεργασίας μεταξύ αυτών των οικογενειών ransomware. Αυτό το ransomware αξίζει περαιτέρω έρευνα και σκοπεύουμε να επικυρώσουμε τις σχετικές διευθύνσεις URL από μολύνσεις ransomware Play όσον αφορά ΤΟ watermarking. Αυτό γίνεται για να διαπιστωθεί εάν όντως αυτές σχετίζονταν με λοιμώξεις Hive στο παρελθόν, όπως είχε γίνει προηγουμένως με τις λοιμώξεις από Nokoyawa.

Δείτε επίσης: Vice Society: Το FBI προειδοποιεί για επιθέσεις ransomware σε σχολικές περιοχές

Επιπλέον, βρήκαμε στοιχεία που δείχνουν μια πιθανή σύνδεση μεταξύ του ransomware Play και του Quantum ransomware, το οποίο είναι παρακλάδι της διαβόητης ομάδας Conti ransomware. Τα beacons Cobalt Strike που χρησιμοποιήθηκαν στις επιθέσεις του Play φέρουν το ίδιο watermark, 206546002, με εκείνα που είχαν προηγουμένως γίνει drop από τα botnet Emotet και SVCReady που έχουν παρατηρηθεί σε επιθέσεις Quantum ransomware. Αυτό υποδηλώνει ότι οι δύο ομάδες ransomware μοιράζονται κάποια από την ίδια υποδομή.

Κατά τη διάρκεια της έρευνάς μας, βρήκαμε καλές πιθανότητες μόλυνσης από το Emotet. Αν και προς το παρόν δεν υπάρχουν καμπάνιες spam που χρησιμοποιούν το Emotet trojan, εντοπίσαμε μερικές περιπτώσεις χρήσης Emotet για την ανάπτυξη Cobalt Strike beacons που φέρουν το ίδιο watermark 206546002 που βρέθηκε σε beacon που εμπλέκονται σε επιθέσεις Play ransomware.

Ρουτίνα μόλυνσης

Οι δημιουργοί κακόβουλου λογισμικού πίσω από το ransomware Play είναι γνωστό ότι χρησιμοποιούν παραβιασμένους έγκυρους λογαριασμούς ή εκμεταλλεύονται unpatched τρωτά σημεία του Fortinet SSL VPN για να αποκτήσουν πρόσβαση στο δίκτυο ενός οργανισμού. Όπως τα περισσότερα σύγχρονα ransomware, το Play χρησιμοποιεί LOLBins ως μέρος των επιθέσεων του.

Το Play ransomware χρησιμοποιεί και τεχνικές διπλού εκβιασμού κατά των θυμάτων του. Στις επιθέσεις του, η εξαγωγή δεδομένων εκτελείται πριν από την ανάπτυξη του ransomware: Αρχειοθετεί τα αρχεία ενός θύματος χρησιμοποιώντας το WinRAR και στη συνέχεια ανεβάζει τα αρχεία σε ιστότοπους κοινής χρήσης. Το εκτελέσιμο λογισμικό ransomware διανέμεται μέσω Group Policy Objects (GPO) και στη συνέχεια εκτελείται χρησιμοποιώντας προγραμματισμένες εργασίες, PsExec ή wmic.

Περισσότερες πληροφορίες μπορείτε να βρείτε στην αναλυτική έρευνα της Trend Micro.

Πηγή πληροφοριών: trendmicro.com