Il ransomware Play ha aggiunto due nuovi strumenti di attacco al proprio arsenale cyber: un infostealer, “Grixba”, nonché un servizio per il furto dei dati dallo Shadow Volume (VSS) di Windows.
Indice degli argomenti
L’infostealer Grixba nell’arsenale cyber del ransomware Play
Grixba è uno strumento di scansione della rete utilizzato per enumerare tutti gli utenti e i computer nel dominio. Lo strumento è stato sviluppato utilizzando un popolare strumento di sviluppo .NET per l’incorporamento e le dipendenze delle applicazioni in un singolo file eseguibile, noto come Costura.
Per quanto riguarda il funzionamento di Grixba, possiamo riassumere le sue caratteristiche in un software che va alla ricerca di software di backup e sicurezza, nonché strumenti di amministrazione remota e altre applicazioni ed elenca il tutto in un file CSV, che verrà poi spedito agli attori della minaccia per mezzo della connessione con il server C2 (comando e controllo) di riferimento, i quali in un secondo momento potranno occuparsi dell’esfiltrazione manuale dei dati di interesse.
Come abbiamo visto l’utilizzo del framework .NET nello sviluppo, rende anche Grixba uno strumento estremamente flessibile e semplice da distribuire, visto che in un unico eseguibile vengono incorporate anche tutte le dipendenze utili al suo funzionamento, senza doverle ridistribuire separatamente. Accade così per esempio per la funzionalità “shell di comando”, offerta dalla DLL costura.commandline.dll, già inclusa nel pacchetto.
Così il ransomware Play ruba i dati di backup
Utilizzando Costura è stato sviluppato anche un altro eseguibile, uno strumento di copia VSS che, secondo i ricercatori, incorpora la libreria AlphaVSS negli eseguibili. Il servizio Copia Shadow del volume (VSS) è una funzionalità di Windows che consente agli utenti di creare istantanee di sistema dei propri dati in momenti temporali specifici e di ripristinarli in caso di perdita di dati o danneggiamento del sistema, facendo “tornare indietro” la datazione del file specifico o del sistema operativo per intero.
La libreria AlphaVSS è un framework .NET che fornisce un’interfaccia di alto livello per l’interazione con VSS. Tale libreria semplifica l’interfacciamento dei programmi .NET con VSS offrendo un set di API controllate. Questo strumento consente agli attori delle minacce di copiare i file normalmente bloccati dal sistema operativo.
L’utilità esaminerà tutti i file e le cartelle contenuti in uno snapshot VSS e quindi li copierà in una directory di destinazione. Prima che venga eseguita la crittografia, il programma offre agli aggressori la possibilità di copiare i dati dai volumi VSS che si trovano su workstation compromesse. Ciò offre agli autori delle minacce la possibilità di copiare file che il sistema operativo normalmente impedirebbe loro di copiare.
