MrAgent ransomware alat cilja ESXi servere

AUTOR ·

Novi MrAgent ransomware alat cilja ESXi servere, funkcionišući kao binarni program dizajniran da radi prvenstveno na VMware ESXi hipervizorima sa jedinom svrhom: automatizacija i praćenje primjene ransomware u velikim okruženjima sa više hipervizora.

MrAgent tool

MrAgent ransomware alat cilja ESXi servere; Source: Bing Image Creator

RANSOMHOUSE

Zlonamjerni akter pod nazivom RansomHouse stoji iza ransomware operacije za koju je napravljen novi alat  MrAgent koja automatizuje primjenu svog šifratora podataka na više VMware ESXi hipervizora.

Zlonamjerni akter RansomHouse pruža uslugu ransomware kao servis (eng. ransomware-as-a-service – RaaS) i pojavio se u decembru 2021. godine uz taktiku duple iznude, a u maju 2022. godine postavio je namjensku internet stranicu na Mračnom internetu za iznudu.

Iako ovaj zlonamjerni akter nije tako aktivan kao zloglasne ransomware grupe LockBit, ALPHV/Blackcat, Play ili Clop dostupne informacije pokazuju da je ciljao velike poslovne organizacije tokom prošle godine. Geografski mete ovog zlonamjernog aktera su uglavnom bile u Italiji 2022. godine, ali se to promijenilo tokom 2023. godine kada su SAD pogođene u procentu od 47,37%. Gledano po sektorima, industrijski i tehnološki sektori su bili najviše ciljani i to u procentu od 44,74% tokom 2023. godine.

 

MRAGENT

Ransomware grupe obično ciljaju ESXi servere jer postavljaju i opslužuju virtuelne računare koji obično sadrže vrijedne podatke koji se mogu koristiti u kasnijem procesu iznude. Pored toga, ESXi serveri često pokreću kritične aplikacije i usluge za poslovne organizacije, uključujući baze podataka i servere elektronske pošte, tako da je operativni poremećaj od napada ransomware zlonamjernim softverom prilično velik, pa i kritičan.

Sada su sigurnosni istraživači primijetili novu binarnu datoteku koja se koristi u RansomHouse napadima i koja izgleda posebno dizajnirana za pojednostavljenje napada zlonamjernih aktera na ESXi sisteme. Osnovna funkcija ove binarne datoteke, koja je nazvana MrAgent, je da identifikuje host sistem, isključi njegov zaštitni zid, a zatim automatizuje proces postavljanja ransomware zlonamjernog softvera više hipervizora istovremeno, kompromitujući sve upravljane virtualne mašine.

 

“Napori da se (dalje) automatizuju koraci koji se inače često izvršavaju ručno pokazuju i interesovanje i spremnost napadačke filijale da cilja velike mreže.“

 Trellix report

 

Funkcionalnost

MrAgent alat podržava prilagođene konfiguracije za primjenu ransomware zlonamjernog softvera primljene direktno sa komandnog i kontrolnog (C2) servera. Ove konfiguracije uključuju postavljanje lozinki na hipervizoru, konfigurisanje komande za šifrovanje i njenih argumenata, zakazivanje događaja šifrovanja i promjenu poruke dobrodošlice koja se prikazuje na monitoru hipervizora kako bi se prikazalo obavještenje o otkupnini.

MrAgent takođe može da izvrši lokalne komande na hipervizoru primljene od C2, da izbriše datoteke, odbaci aktivne SSH sesije da spriječi smetnje tokom procesa šifrovanja i pošalje nazad informacije o pokrenutim virtualnim mašinama. Onemogućavanjem zaštitnog zida i potencijalnim izbacivanjem SSH sesija koje nisu pokrenute sa root privilegijama, MrAgent umanjuje šanse za otkrivanje i intervenciju od strane administratora dok istovremeno povećava uticaj napada ciljajući sve dostupne virtualne mašine odjednom.

Uočena je i Windows verzija koja zadržava istu osnovnu funkcionalnost, ali ima adaptacije specifične za operativni sistem, kao što je korištenje PowerShell funkcionalnosti za određene zadatke.

 

ZAKLJUČAK

Korištenje alatke MrAgent na različitim platformama pokazuje namjeru RansomHouse da proširi primjenljivost alata i maksimizira uticaj svojih kampanja kada cilja Windows i Linux operativne sisteme. Zbog toga su bezbjednosne implikacije alata kao što je MrAgent su ozbiljne, tako da sigurnosni timovi moraju primijeniti sveobuhvatne i robusne mjere sajber bezbjednosti.

 

ZAŠTITA

Kako bi se umanjio uticaj ove prijetnje, sigurnosni timovi mogu preduzeti sljedeće mjere ublažavanja:

  • Implementirati autentifikaciju u dva koraka (two-factor authentication – 2FA) na svim administratorskim nalozima, kako bi se napad zaustavio prije nego što napadač uopšte bude imao šansu da dobije pristup sistemu. Posebno obratiti pažnju na korisničke naloge visokih privilegija,
  • Izvršiti ograničavanje udaljenog pristupa uz naglašavanje opasnosti administratorima koji rade rade na kritičnoj infrastrukturi. Ako napadač kompromituje administratorski nalog, to će mu drastično pomoći u sljedećoj fazi napada i uspostavljanju pristupa hipervizoru,
  • Ograničiti korištenje naloga na osnovnom nivou (eng. root-level). Ove naloge treba koristiti samo tamo gdje je potrebno i to ograničeno vrijeme, jer se većina svakodnevnog posla može obaviti bez ovog nivoa pristupa,
  • Potrebno je izvršiti uklanjanje pristupa nepotrebnim portovima, jer usluge koje se ne koriste treba da budu onemogućene,
  • Aktivirati režim zaključavanja. Kada je ovaj režim aktivan, hostovima hipervizora može se pristupiti samo preko vCenter servera. Dodatno se može dozvoliti određenim korisniku da pristupa servisnim nalozima,
  • Kao dodatni sloj zaštite, na platformama hipervizora se može aktivirati autentifikacija u više koraka (eng. multi-factor authentication – MFA). Ovo će efikasno ograničiti potencijalnog napadača da pristupi serveru i napreduje dalje u lancu napada,
  • Funkcija zaključavanja naloga je dostupna sa SSH pristupom i podrazumijevano je podešena na 10 neuspješnih pokušaja prijave. Ovaj parametar se može promijeniti, ali suština je zaštita od bilo kakvih potencijalnih napada grubom silom (eng. brute force attack),
  • Segmentacija mreže bi trebalo da se podrazumijeva u svakom planiranju i radu mrežne arhitekture. Segmentacija mreže dodatno sama po sebi primjenjuje najbolje bezbjednosne prakse i otežava uspjeh ransomware napada. Preporuka je korištenje mikro-segmentacije, odnosno, segmentiranje hipervizora od ostalih mašina u lokalnoj mreži,
  • Nema mnogo smisla implementirati brojne nivoe zaštite u aktivnom direktorijumu (eng. Active Directory – AD) za administratorske naloge ako se ne sprovode redovne i temeljne revizije nivoa pristupa. Zbog dinamičke prirode korisničkih naloga, uloga i dozvola, važno je sprovoditi redovnu reviziju pristupa aktivnom direktorijumu da bi se obezbijedio princip najmanje potrebnih privilegija za obavljanje redovnih aktivnosti i zadataka.
  • Koristiti provjerena sigurnosna riješenja opremljena naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i spriječile zlonamjerne aktivnosti,
  • Redovno praćenje mrežnog saobraćaja radi neuobičajenih aktivnosti i porasta zahteva, kao i redovni pregled i ažuriranje procesa i alata za analizu mrežnog saobraćaja,
  • Ažuriranje svih uređaja i softvera je ključno za smanjenje rizika od infekcije zlonamjernim softverom. Proizvođači često objavljuju bezbjednosna ažuriranja i ispravke kako bi riješili probleme poznatih ranjivosti. Blagovremenom primjenom ovih ažuriranja, mogu se zatvoriti potencijalne ulazne tačke,
  • Redovno pravljenje rezervnih kopija uz pravilnu strategiju čuvanja je posljednja odbrana od gubitka podataka i omogućava njihovo vraćanje,
  • Dobar plan odgovara na sajber prijetnju je ključan za svaku organizaciju kako bi mogla da brzo reaguje u slučaj sajber incidenta.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.