I consulenti di Unit 42 di Palo Alto Networks hanno monitorato l’infrastruttura di un nuovo  ransomware denominato “Mespinoza”, gestito da un gruppo prolifico che ha già attaccato organizzazioni statunitensi dell’editoria, degli immobili, della produzione industriale e dell’istruzione con richieste di riscatto fino a $ 1,6 milioni e pagamenti fino a $ 470.000.

Ecco alcuni dei risultati principali su Mespinoza:

  • Estremamente disciplinato: dopo l’accesso a una nuova rete, il gruppo studia i sistemi compromessi in quello che si ritiene essere il triage per determinare se ci sono abbastanza dati preziosi per giustificare il lancio di un attacco su vasta scala. Cercano parole chiave tra cui clandestino, frode, ssn, patente di guida, passaporto e I-9. Ciò suggerisce che stanno cercando file sensibili che avrebbero il maggiore impatto se trapelati.
  • Si rivolge a molti settori: le organizzazioni vittime sono indicate come “partner”. L’uso di questo termine suggerisce che cercano di gestire il gruppo come un’impresa professionale e vedono le vittime come partner commerciali che finanziano i loro profitti. Il sito di fuga della banda ha fornito dati che afferma appartenere a 187 organizzazioni in settori tra cui istruzione, produzione, vendita al dettaglio, medicina, governo, alta tecnologia, trasporti e logistica, ingegneria e servizi sociali.
  • Ha una portata globale: il 55% delle vittime identificate sul sito della fuga di notizie si trova negli Stati Uniti. Gli altri sono sparsi in tutto il mondo in più di 20 paesi tra cui Canada, Brasile, Regno Unito, Italia, Spagna, Francia, Germania, Sud Africa e Australia.
  • È arrogante quando si avvicina alle vittime:una richiesta di riscatto offre questo consiglio: “Cosa dire al mio capo?” “Proteggi il tuo sistema, Amigo.”
  • Utilizza strumenti di attacco con nomi creativi: uno strumento che crea tunnel di rete per sottrarre dati è chiamato “MagicSocks”. Un componente archiviato sul loro server di staging e probabilmente utilizzato per concludere un attacco si chiama “HappyEnd.bat”.

Gli attori malevoli sfruttano le tattiche di doppia estorsione, quindi esfiltrano i dati prima di distribuire il ransomware in modo che possano in seguito minacciare le vittime, e installano una nuova backdoor, chiamata Gasket, (basata sul codice del malware) per mantenere l’accesso alla rete. Gasket fa anche riferimento a una funzionalità chiamata “MagicSocks”, che utilizza il progetto open source Chisel per creare tunnel per l’accesso remoto continuo alla rete.

La banda del ransomware Mespinoza esfiltra i file su un server remoto i cui nomi di file corrispondono a un elenco di parole chiave prima di installare il ransomware tramite uno script PowerShell. Al momento della pubblicazione dell’articolo, gli esperti di Unit 42 hanno osservato che il sito di fuga della banda ha nominato e fornito informazioni su 187 organizzazioni in vari settori a livello globale.

Gli strumenti Gasket e MagicSocks sono stati utilizzati in un attacco che ha consegnato il ransomware Mespinoza (noto anche come PYSA). Sulla base dell’analisi durante i casi di risposta agli incidenti sono stati scoperti altri strumenti utilizzati dagli attori per facilitare le ultime parti dei loro attacchi.

Per la ricognizione generale della rete dopo la violazione di RDP, “ADRecon” è stato utilizzato per enumerare Active Directory per domini, utenti, gruppi, computer e altro nonchè utility Windows integrate come quser, ping e net, insieme agli strumenti scaricati Advanced IP Scanner e Advanced Port Scanner, per raccogliere ulteriori informazioni sugli utenti connessi e sulle topologie di rete. Gli script PowerShell sono stati utilizzati per riattivare i sistemi attivandoli sulla rete fornendo agli operatori obiettivi aggiuntivi.

Per la raccolta delle credenziali e per facilitare lo spostamento laterale, l’implementazione del ransomware, gli operatori hanno utilizzato PowerShell per cercare in modo ricorsivo nel file system le credenziali di accesso archiviate in file di testo e fogli di calcolo. È stato utilizzato anche lo strumento PowerShell “SessionGopher”, in grado di estrarre le informazioni sulla sessione da strumenti di accesso remoto, come WinSCP, PuTTY, FileZilla e altri, abilitando RDP e l’utilità Microsoft Sysinternals PsExec per consentire il movimento laterale.

Gli operatori hanno anche utilizzato gli script di PowerShell per interrompere i servizi di sicurezza e i backup e disabilitare le funzionalità di Windows Defender modificando i criteri di gruppo locali.

Mespinoza è un ransomware abbastanza semplice in quanto enumera il file system e crittografa i file con un codice asimmetrico, rinomina i file con un’estensione specifica e visualizza un messaggio di riscatto all’interno del quale sono presenti tre indirizzi e-mail che le vittime contatterebbero per discutere le opzioni di pagamento per consentire agli attori di decrittografare i file crittografati. Oltre a fornire indirizzi e-mail, il messaggio di riscatto include anche il sito di fuga del gruppo che gli attori affermano dal quale pubblicheranno file sensibili rubati dalla rete prima di crittografare i file. Sembra che il gruppo utilizzi questi file potenzialmente sensibili per ottenere una leva nella negoziazione dei pagamenti.

“Gli attacchi di Mespinoza, come quelli documentati in questo rapporto, evidenziano più tendenze attualmente in corso tra più attori e famiglie di minacce ransomware che abilitano chiaramente i loro attacchi e li rendono facili e semplici da usare nei loro attacchi. Come con altri attacchi ransomware, Mespinoza ha origine attraverso la proverbiale porta d’ingresso – server RDP con connessione a Internet – mitigando la necessità di creare e-mail di phishing, eseguire social engineering, sfruttare le vulnerabilità del software o altre attività più lunghe e costose. Ulteriori costi vengono risparmiati attraverso l’uso di numerosi strumenti open source disponibili online gratuitamente o attraverso l’uso di strumenti integrati che consentono agli attori di “live off the land”, il che va a vantaggio delle spese e dei profitti finali”, conclude Unit 42 di Palo Alto Networks.

 

https://unit42.paloaltonetworks.com/gasket-and-magicsocks-tools-install-mespinoza-ransomware/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE