top of page

"Ransom Cartel" ransomware-as-a-service

Palo Alto Networks Unit42 napisao je vrlo detaljno izvješće o unutarnjem funkcioniranju obitelji ransomwarea "Ransom Cartel". Radi se o ransomware kao usluzi (RaaS) koji se pojavio sredinom prosinca 2021. i koristi širok raspon taktika i tehnika tipičnih za današnje zlonamjerne aktere. Također, poznato je da koristi pristup dvostrukog iznuđivanja, tj. ne samo šifriranje datoteka, već i prijetnju da će ukradene podatke objaviti javnosti.


Neke od tehnika Ransom Cartela, korištenih tijekom napada, su:

  • Korištenje alata kao što su DonPAPI, LaZagne i Mimikatz, za izbacivanje kredencijala iz različitih izvora, uključujući memoriju, web preglednike, Wi-Fi ključeve i pohranu zaporki za udaljenu radnu površinu (RDP). Ukratko, sve što je pohranjeno na kompromitiranom računalu, kao predmemorirane kredencijale, koristit će se za daljnje povećanje pristupa.

  • Posebna pažnja posvećena je Vmware ESXi kao jednoj od najzastupljenijih infrastrukturnih komponenti u većini organizacija. Za kompromitiranje ESXi uređaja, Ransom Cartel koristi DonPAPI za prikupljanje kredencijala pohranjenih u web preglednicima koji se koriste za autentifikaciju na vCenter web sučelju. Nakon autentifikacije na vCenteru, napadači automatski omogućuju SSH pristup ESXi poslužiteljima kojima upravlja vCenter: oni će zatim stvoriti novi SSH račun i postaviti korisnički identifikator (UID) računa na nulu, što znači da je postignuta perzistentnost root pristupa.

  • Nakon što je poslužitelj VMware ESXi ugrožen, zlonamjerni akter pokreće kriptor koji će automatski nabrojati pokrenuta virtualna računala (VM) i isključiti ih pomoću naredbe esxcli. Rezultat je enkripcija i uništavanje cjelokupnih slika Vmware poslužitelja pohranjenih u .vmdk i srodnim datotekama.

  • Kako bi dobio početni pristup sustavu, Ransom Cartel koristi kompromitirane važeće VPN, RDP, Citrix ili VNC račune, najvjerojatnije dobivene phishingom.

Osim uobičajenog phishinga kao ulazne točke, čini se da je ovdje glavni fokus izbacivanje kredencijala i Vmware infrastruktura.


Saznajte ovdje više o tehnikama "Ransom Cartel" u blogu Unit42.



Comments


Latest news

bottom of page