RansomHouse ha sviluppato un nuovo strumento chiamato “MrAgent” per automatizzare il dispiegamento del proprio cifratore di dati su più hypervisor VMware ESXi. Questo strumento consente agli attaccanti di automatizzare il processo di infezione di sistemi ESXi, compromettendo simultaneamente tutte le macchine virtuali (VM) gestite secondo quanto scoperto da NorthWave in collaborazione con Trellix.
Caratteristiche di MrAgent
MrAgent ha la capacità di identificare il sistema host, disabilitare il firewall e procedere automaticamente al dispiegamento del ransomware su più hypervisor contemporaneamente. Questa automazione aumenta significativamente l’efficacia e l’ampiezza dell’attacco, poiché le VM gestite spesso contengono dati preziosi che possono essere utilizzati nei processi di estorsione successivi.
L’attacco mirato agli hypervisor ESXi è particolarmente dannoso poiché questi sistemi spesso gestiscono applicazioni e servizi critici per le aziende, inclusi database e server di posta elettronica. Pertanto, l’interruzione operativa causata dall’attacco di ransomware viene massimizzata.
Funzionalità e Configurazione
MrAgent supporta configurazioni personalizzate per il dispiegamento del ransomware ricevute direttamente dal server di comando e controllo (C2). Queste configurazioni possono includere l’impostazione di password sull’hypervisor, la configurazione del comando del cifratore e dei suoi argomenti, la pianificazione di un evento di crittografia e la modifica del messaggio di benvenuto visualizzato sul monitor dell’hypervisor per mostrare un avviso di riscatto.
Inoltre, MrAgent può eseguire comandi locali sull’hypervisor ricevuti nuovamente dal C2 per eliminare file, interrompere sessioni SSH attive per prevenire interferenze durante il processo di crittografia e inviare informazioni sulle VM in esecuzione. Disabilitando il firewall e potenzialmente interrompendo le sessioni SSH non-root, MrAgent riduce le possibilità di rilevamento e intervento da parte degli amministratori, aumentando contemporaneamente l’impatto dell’attacco.
Versione Windows di MrAgent
Trellix ha individuato una versione Windows di MrAgent, che mantiene la stessa funzionalità di base ma presenta adattamenti specifici per il sistema operativo, come l’uso di PowerShell per determinati compiti. L’utilizzo di MrAgent su diverse piattaforme dimostra l’intenzione di RansomHouse di estendere l’applicabilità dello strumento e massimizzare l’impatto delle loro campagne quando il bersaglio utilizza sia sistemi Windows che Linux.
Implicazioni per la Sicurezza
Le implicazioni di sicurezza di strumenti come MrAgent sono gravi, quindi i difensori devono implementare misure di sicurezza complete e robuste, inclusi aggiornamenti regolari del software, controlli di accesso rigorosi, monitoraggio della rete e registrazione per difendersi da tali minacce.