Группа разработчиков вымогательского ПО Play использует два новых, специально разработанных инструмента, которые позволяют ей перечислять всех пользователей и компьютеры во взломанной сети и копировать файлы из службы теневого копирования тома (VSS), которые обычно блокируются операционной системой.
Общие сведения о программе Play Ransomware
Play ransomware (также известная как PlayCrypt), разработанная группой, которую Symantec называет Balloonfly, была запущена в июне 2022 года и с тех пор была ответственна за множество громких атак. Как и большинство групп вымогателей, Play осуществляет атаки с двойным вымогательством, когда злоумышленники удаляют данные из сетей жертв, прежде чем зашифровать их. Изначально эта группировка была нацелена на организации в Латинской Америке, особенно в Бразилии, но вскоре она расширила круг своих жертв.
Play известна тем, что использует уязвимости Microsoft Exchange (CVE-2022-41080, CVE-2022-41082), а также другие недостатки для удаленного выполнения кода (RCE) и проникновения в сети жертв. Эта группа также была одной из первых групп ransomware, использовавших прерывистое шифрование - технику, позволяющую быстрее шифровать системы жертв. Тактика заключается в шифровании только части содержимого целевых файлов, что все равно делает данные невосстановимыми.
Play также примечателен тем, что он не работает как ransomware-as-a-service: похоже, что Balloonfly осуществляет атаки с целью выкупа, а также разрабатывает вредоносное ПО.
Grixba
Первым инструментом, обнаруженным исследователями из Symantec, компании Broadcom Software, был Grixba (Infostealer.Grixba), который представляет собой инструмент сетевого сканирования, используемый для перечисления всех пользователей и компьютеров в домене.
Угрозы используют .NET infostealer для перечисления программного обеспечения и служб через WMI, WinRM, удаленный реестр и удаленные службы. Вредоносная программа проверяет наличие программ безопасности и резервного копирования, а также инструментов удаленного администрирования и других программ, сохраняя собранную информацию в CSV-файлах, которые сжимаются в ZIP-файл для последующей ручной эксфильтрации.
Банда Play ransomware разработала Grixba с помощью Costura, популярного инструмента разработки на платформе .NET для встраивания зависимостей приложения в один исполняемый файл. Это устраняет необходимость отдельного развертывания программы и ее зависимостей, что упрощает совместное использование и развертывание приложения. Costura встраивает в приложения DLL-файл costura.commandline.dll, который используется Grixba для разбора командных строк.
Режим сканирования
Режим сканирования перечисляет программное обеспечение и службы через WMI, WinRM, удаленный реестр и удаленные службы.
Затем он проверяет наличие следующих программ безопасности:
- Defence
- Defender
- Endpoint
- AntiVirus
- BitDefender
- Kaspersky
- Norton
- Avast
- WebRoo
- AVG
- ESET
- Malware
- Defender
- Sophos
- Trend
- Symantec Endpoint Protection
- Security
- McAfee
- TotalAV
- pcprotect
- scanguard
- Crowdstrike
- Harmony
- SentinelOne
- MVISION
- WithSecure
- WatchGuard
- FireEye
- FSecure
- Carbon Black
- Heimdal
- HitmanPro
- VIPRE
- Anti-Virus
- DeepArmor
- Morphisec
- Dr.Web
Он также проверяет наличие следующих программ для резервного копирования:
- Veeam
- Backup
- Recovery
- Synology
- C2
- Cloud
- Dropbox
- Acronis
- Cobian
- EaseUS
- Paragon
- IDrive
Затем он проверяет наличие следующих инструментов удаленного администрирования:
- VNC
- Remote
- AnyDesk
- TeamViewer
- NinjaOne
- Zoho
- Atera
- ConnectWise
- RemotePC
- GoTo Resolve
- GoToAssist
- Splashtop SOS
- BeyondTrust
- Remote Desktop Manager
- Getscreen
- Action1
- Webex
- Atlassian
- Surfly
- Electric
- Pulseway
- Kaseya VSA
- XMReality
- SightCall
- DameWare
- ScreenMeet
- Viewabo
- ShowMyPC
- Iperius
- Radmin
- Remote Utilities
- RemoteToPC
Наконец, он проверяет наличие следующих программ:
- Hitachi Storage Navigator Modular
- .NET
- Office
- Adobe
- Word
- Excel
- Java
- Office
- Learning
- DirectX
- PowerPoint
Затем вредоносная программа сохраняет всю информацию в CSV-файлах и, используя WinRAR, сжимает их в файл с именем export.zip.
Список CSV-файлов, сжатых Grixba:
- alive.csv
- wm.csv
- soft.csv
- all_soft.csv
- mount.csv
- users.csv
- remote_svc.csv
- cached_RDP.csv
Режим Scanall
Режим Scanall похож на режим Scan, но сканирует более широкий список программ.
Режим Clr
Режим Clr удаляет журналы с локального и удаленного компьютеров. Он также перечисляет следующие ключи реестра:
SYSTEM\\\CurrentControlSet\\\services\\\eventlog
SOFTWARE\\\Microsoft\\\Windows\\\CurrentVersion\\WINEVT\\\\Channels
Он использует API "EvtOpenLog" и "EvtClearLog" для удаления журналов и удаляет журналы активности WMI из источника событий "Microsoft-Windows-WMI-Activity".
Инструмент копирования VSS
Недавно Play также была замечена в использовании другого исполняемого файла .NET, который также был разработан с помощью инструмента Costura.
Costura встраивает библиотеку AlphaVSS в исполняемые файлы. Библиотека AlphaVSS представляет собой фреймворк .NET, который обеспечивает высокоуровневый интерфейс для взаимодействия с VSS. Библиотека упрощает взаимодействие программ .NET с VSS, предлагая набор управляемых API. Разработчики могут использовать эти API для создания, управления и удаления теневых копий, а также для доступа к информации о существующих теневых копиях, такой как размер и статус.
Инструмент, созданный операторами вымогательского ПО Play, использует AlphaVSS для копирования файлов из моментальных снимков VSS. Инструмент перечисляет файлы и папки в снимке VSS и копирует их в целевой каталог. Инструмент позволяет злоумышленникам копировать файлы из томов VSS на взломанных машинах до шифрования. Это позволяет злоумышленникам копировать файлы, которые обычно блокируются операционной системой.
Indicators of Compromise
IPv4
- 137.220.49.66
Domains
- justiceukraine.com
SHA256
- 1409e010675bf4a40db0a845b60db3aae5b302834e80adeec884aebc55eccbf7
- 367d47ad48822caeedf73ce9f26a3a92db6f9f2eb18ee6d650806959b6d7d0a2
- 453257c3494addafb39cb6815862403e827947a1e7737eb8168cd10522465deb
- 5ef9844903e8d596ac03cc000b69bbbe45249eea02d9678b38c07f49e4c1ec46
- 6f95f7f53b3b6537aeb7c5f0025dbca5e88e6131b7453cfb4ee4d1f11eeaebfc
- 762bb8a7209da29afb89f7941ae1c00a04cf45a144c6c5dddcfa78ff0d941539
- 86e4e23f9686b129bfb2f452acb16a4c0fda73cf2bf5e93751dcf58860c6598c
- a8a7fdbbc688029c0d97bf836da9ece926a85e78986d0e1ebd9b3467b3a72258
- c59f3c8d61d940b56436c14bc148c1fe98862921b8f7bad97fbc96b31d71193c
- f706bae95a232402488d17016ecc11ebe24a8b6cb9f10ad0fa5cbac0f174d2e7
- f71476f9adec70acc47a911a0cd1d6fea1f85469aa16f5873dd3ffd5146ccd6b
- f81bd2ac937ed9e254e8b3b003cc35e010800cbbce4d760f5013ff911f01d4f9