top of page
    • Oct 17, 2022

"Ransom Cartel" ransomware-as-a-service

Palo Alto Networks Unit42 je napisao veoma detaljan izveštaj o unutrašnjem funkcionisanju porodice ransomware-a "Ransom Cartel". To je ransomware-as-a-service (RaaS) koji se pojavio sredinom decembra 2021. i koristi širok spektar taktika i tehnika tipičnih za današnje zlonamerne aktere. Takođe, poznato je da se koristi pristup dvostruke iznude, odnosno, ne samo šifrovanja fajlova, već i pretnje da se ukradeni podaci iznesu u javnost.


Neke od tehnika Ransom Cartela, korišćenih tokom napada su:

  • Korišćenje alata kao što su DonPAPI, LaZagne i Mimikatz, za izbacivanje kredencijala iz različitih izvora, uključujući memoriju, web pregledače, Wi-Fi ključeve i skladišta lozinki za udaljenu radnu površinu (RDP). Ukratko, sve što je uskladišteno na kompromitovanom računaru, kao keširani akreditivi, koristiće se za dalje povećanje pristupa.

  • Posebna pažnja posvećena je Vmware ESXi kao jednoj od najčešćih komponenti infrastrukture u većini organizacija. Da bi kompromitovao ESXi uređaje, Ransom Cartel koristi DonPAPI za prikupljanje kredencijala u web pregledačima koji se koriste za autentifikaciju na web interfejsu vCenter. Nakon autentifikacije na vCenteru, napadači automatski dozvoljavaju SSH pristup ESXi serverima kojima upravlja vCenter: tada će kreirati novi SSH nalog i postaviti identifikator korisnika (UID) naloga na nulu, što znači da je postignuta perzistentnost root pristupa.

  • Kada je VMware ESXi server kompromitovan, zlonamerni akter pokreće kriptor koji će automatski nabrojati pokrenute virtuelne mašine (VM) i isključiti ih pomoću komande esxcli. Rezultat je šifrovanje i uništavanje celokupnih slika Vmware servera uskladištenih u .vmdk i srodnim datotekama.

  • Da bi dobio početni pristup sistemu, Ransom Cartel koristi kompromitovane važeće VPN, RDP, Citrix ili VNC naloge, naverojatnije dobijene phishingom.

Osim uobičajenog phishinga kao ulazne tačke, čini se da je glavni fokus ovde damping kredencijala i Vmware infrastruktura.

Saznajte ovde više o tehnikama "Ransom Cartel" u blogu Unit42.




bottom of page