Play Ransomware IOCs - Part 2

ransomware IOC
Опубликовано

Группа разработчиков вымогательского ПО Play использует два новых, специально разработанных инструмента, которые позволяют ей перечислять всех пользователей и компьютеры во взломанной сети и копировать файлы из службы теневого копирования тома (VSS), которые обычно блокируются операционной системой.

Общие сведения о программе Play Ransomware

Play ransomware (также известная как PlayCrypt), разработанная группой, которую Symantec называет Balloonfly, была запущена в июне 2022 года и с тех пор была ответственна за множество громких атак. Как и большинство групп вымогателей, Play осуществляет атаки с двойным вымогательством, когда злоумышленники удаляют данные из сетей жертв, прежде чем зашифровать их. Изначально эта группировка была нацелена на организации в Латинской Америке, особенно в Бразилии, но вскоре она расширила круг своих жертв.

Play известна тем, что использует уязвимости Microsoft Exchange (CVE-2022-41080, CVE-2022-41082), а также другие недостатки для удаленного выполнения кода (RCE) и проникновения в сети жертв. Эта группа также была одной из первых групп ransomware, использовавших прерывистое шифрование - технику, позволяющую быстрее шифровать системы жертв. Тактика заключается в шифровании только части содержимого целевых файлов, что все равно делает данные невосстановимыми.

Play также примечателен тем, что он не работает как ransomware-as-a-service: похоже, что Balloonfly осуществляет атаки с целью выкупа, а также разрабатывает вредоносное ПО.

Grixba

Первым инструментом, обнаруженным исследователями из Symantec, компании Broadcom Software, был Grixba (Infostealer.Grixba), который представляет собой инструмент сетевого сканирования, используемый для перечисления всех пользователей и компьютеров в домене.

Угрозы используют .NET infostealer для перечисления программного обеспечения и служб через WMI, WinRM, удаленный реестр и удаленные службы. Вредоносная программа проверяет наличие программ безопасности и резервного копирования, а также инструментов удаленного администрирования и других программ, сохраняя собранную информацию в CSV-файлах, которые сжимаются в ZIP-файл для последующей ручной эксфильтрации.

Банда Play ransomware разработала Grixba с помощью Costura, популярного инструмента разработки на платформе .NET для встраивания зависимостей приложения в один исполняемый файл. Это устраняет необходимость отдельного развертывания программы и ее зависимостей, что упрощает совместное использование и развертывание приложения. Costura встраивает в приложения DLL-файл costura.commandline.dll, который используется Grixba для разбора командных строк.

Режим сканирования

Режим сканирования перечисляет программное обеспечение и службы через WMI, WinRM, удаленный реестр и удаленные службы.

Затем он проверяет наличие следующих программ безопасности:

  • Defence
  • Defender
  • Endpoint
  • AntiVirus
  • BitDefender
  • Kaspersky
  • Norton
  • Avast
  • WebRoo
  • AVG
  • ESET
  • Malware
  • Defender
  • Sophos
  • Trend
  • Symantec Endpoint Protection
  • Security
  • McAfee
  • TotalAV
  • pcprotect
  • scanguard
  • Crowdstrike
  • Harmony
  • SentinelOne
  • MVISION
  • WithSecure
  • WatchGuard
  • FireEye
  • FSecure
  • Carbon Black
  • Heimdal
  • HitmanPro
  • VIPRE
  • Anti-Virus
  • DeepArmor
  • Morphisec
  • Dr.Web

Он также проверяет наличие следующих программ для резервного копирования:

  • Veeam
  • Backup
  • Recovery
  • Synology
  • C2
  • Cloud
  • Dropbox
  • Acronis
  • Cobian
  • EaseUS
  • Paragon
  • IDrive

Затем он проверяет наличие следующих инструментов удаленного администрирования:

  • VNC
  • Remote
  • AnyDesk
  • TeamViewer
  • NinjaOne
  • Zoho
  • Atera
  • ConnectWise
  • RemotePC
  • GoTo Resolve
  • GoToAssist
  • Splashtop SOS
  • BeyondTrust
  • Remote Desktop Manager
  • Getscreen
  • Action1
  • Webex
  • Atlassian
  • Surfly
  • Electric
  • Pulseway
  • Kaseya VSA
  • XMReality
  • SightCall
  • DameWare
  • ScreenMeet
  • Viewabo
  • ShowMyPC
  • Iperius
  • Radmin
  • Remote Utilities
  • RemoteToPC

Наконец, он проверяет наличие следующих программ:

  •  Hitachi Storage Navigator Modular
  • .NET
  • Office
  • Adobe
  • Word
  • Excel
  • Java
  • Office
  • Learning
  • DirectX
  • PowerPoint

Затем вредоносная программа сохраняет всю информацию в CSV-файлах и, используя WinRAR, сжимает их в файл с именем export.zip.

Список CSV-файлов, сжатых Grixba:

  • alive.csv
  • wm.csv
  • soft.csv
  • all_soft.csv
  • mount.csv
  • users.csv
  • remote_svc.csv
  • cached_RDP.csv

Режим Scanall

Режим Scanall похож на режим Scan, но сканирует более широкий список программ.

Режим Clr

Режим Clr удаляет журналы с локального и удаленного компьютеров. Он также перечисляет следующие ключи реестра:

SYSTEM\\\CurrentControlSet\\\services\\\eventlog

SOFTWARE\\\Microsoft\\\Windows\\\CurrentVersion\\WINEVT\\\\Channels

Он использует API "EvtOpenLog" и "EvtClearLog" для удаления журналов и удаляет журналы активности WMI из источника событий "Microsoft-Windows-WMI-Activity".

Инструмент копирования VSS

Недавно Play также была замечена в использовании другого исполняемого файла .NET, который также был разработан с помощью инструмента Costura.

Costura встраивает библиотеку AlphaVSS в исполняемые файлы. Библиотека AlphaVSS представляет собой фреймворк .NET, который обеспечивает высокоуровневый интерфейс для взаимодействия с VSS. Библиотека упрощает взаимодействие программ .NET с VSS, предлагая набор управляемых API. Разработчики могут использовать эти API для создания, управления и удаления теневых копий, а также для доступа к информации о существующих теневых копиях, такой как размер и статус.

Инструмент, созданный операторами вымогательского ПО Play, использует AlphaVSS для копирования файлов из моментальных снимков VSS. Инструмент перечисляет файлы и папки в снимке VSS и копирует их в целевой каталог. Инструмент позволяет злоумышленникам копировать файлы из томов VSS на взломанных машинах до шифрования. Это позволяет злоумышленникам копировать файлы, которые обычно блокируются операционной системой.

Indicators of Compromise

IPv4

  • 137.220.49.66

Domains

  • justiceukraine.com

SHA256

  • 1409e010675bf4a40db0a845b60db3aae5b302834e80adeec884aebc55eccbf7
  • 367d47ad48822caeedf73ce9f26a3a92db6f9f2eb18ee6d650806959b6d7d0a2
  • 453257c3494addafb39cb6815862403e827947a1e7737eb8168cd10522465deb
  • 5ef9844903e8d596ac03cc000b69bbbe45249eea02d9678b38c07f49e4c1ec46
  • 6f95f7f53b3b6537aeb7c5f0025dbca5e88e6131b7453cfb4ee4d1f11eeaebfc
  • 762bb8a7209da29afb89f7941ae1c00a04cf45a144c6c5dddcfa78ff0d941539
  • 86e4e23f9686b129bfb2f452acb16a4c0fda73cf2bf5e93751dcf58860c6598c
  • a8a7fdbbc688029c0d97bf836da9ece926a85e78986d0e1ebd9b3467b3a72258
  • c59f3c8d61d940b56436c14bc148c1fe98862921b8f7bad97fbc96b31d71193c
  • f706bae95a232402488d17016ecc11ebe24a8b6cb9f10ad0fa5cbac0f174d2e7
  • f71476f9adec70acc47a911a0cd1d6fea1f85469aa16f5873dd3ffd5146ccd6b
  • f81bd2ac937ed9e254e8b3b003cc35e010800cbbce4d760f5013ff911f01d4f9
Похожие записи:
  1. Exmatter IOCs
  2. BlackByte Ransomware IOCs - Part 5
  3. Play Ransomware IOCs
  4. LokiLocker Ransomware IOC
  5. Hive Ransomware IOC
Play Ransomware Symantec
Добавить комментарий