A Play zsarolóvírus (más néven PlayCrypt) egy új zsarolóprogram, amely 2022 júniusában fedeztek fel először. A Play zsarolóvírussal folytatott támadások világszerte folyamatosan szedik az áldozataikat. A Play a közelmúltban azzal került be a hírekbe, hogy segítségével megtámadták az argentin Cordobai Igazságügyi Minisztériumot és a német „H-Hotels” szállodaláncot, továbbá Antwerpen város informatikája és a Rackspace is áldozatul esett ilyen támadásnak. A Play támadásai a latin-amerikai régió szervezeteire összpontosítanak - Brazília az elsődleges célpontjuk. Indiában, Magyarországon, Spanyolországban és Hollandiában is megfigyelték ezeket a támadások végrehajtásában. A Cobalt Strike által kompromittálódott célpontokat, illetve nemrég kezdték el kihasználni a Microsoft Exchange ProxyNotShell sebezhetőségeit is. A csoport taktikája és technikái hasonlóak a Hive és a Nokoyawa zsarolóvírus-csoportokhoz, ami a kutatók szerint arra enged következtetni, hogy a Play-t ugyanazok az emberek működtetik. Vessünk egy pillantást a Play ransomware-re, taktikáikra és technikáikra, valamint arra, hogy a szervezetek hogyan védekezhetnek az ilyen típusú fenyegető szereplők ellen.
Hogyan történik a fertőzés?
A zsarolóvírus viszonylag agresszívan terjed belső hálózaton, miután az internetről nyitott SSH, RDP vagy FTP kapcsolaton keresztül betöltődik az adott rendszerbe, illetve nem megfelelő védelemmel ellátott, gyenge jelszóval védett szolgáltatásokat vesz célpontba, amikbe beletartoznak a webszerverek, az OWA és az Exchange kiszolgáló rendszerei. A rendszer infekciója a jellemzően e-mail csatolmányban elhelyezett gyanús fájlon keresztül vagy az internetről letöltött nem hivatalos oldalról beszerzett ismert programcsomaggal történik meg (Skype, Teams, Chrome, Firefox…).
2022. december vége felé megfigyelték, hogy a Play zsarolóvírus terjesztéséhez olyan módszert használt, amellyel a Microsoft Exchange két ProxyNotShell sebezhetőségét kihasználva kezdeti hozzáférést szerzett a környezetekhez. A ProxyNotShell hibák a következők:
- CVE-2022-41040 - A Microsoft Exchange Server jogosultságok növelésének sebezhetősége: SSRF (Server-Side Request Forgery).
- CVE-2022-41082 - A Microsoft Exchange Server távoli kódvégrehajtási sebezhetőség: RCE (Remote Code Execution).
A hibák az Exchange Server 2013, 2016 és 2019 rendszereket érintik. Siker esetén a támadó kihasználhatja a ProxyNotShell-t a jogosultságok megemeléséhez, hogy a PowerShell-t futtassa a rendszerszintű jogosultsággal, így tetszőleges vagy távoli kódfuttatáshoz juthat a sebezhető kiszolgálókon. Bár a biztonsági réseket a Microsoft 2022 novemberében javította, a Play képes volt megkerülni a Microsoft által az Autodiscover végpontra bevezetett URL-átírási hibajavításokat. Felmerült az a a lehetőség, hogy a későbbi támadások során már további két, szintén novemberben befoltozott biztonsági rést is felhasználnak,
Ezután a Play képes még kihasználni a Plink és AnyDesk futtatható programokat a hozzáférés fenntartásához. A kiszolgálón antiforenzikai technikákat is alkalmaztak, így próbálták elrejteni a tevékenységüket. A CrowdStrike biztonsági kutatói több olyan Play zsarolóvírusos behatolást vizsgáltak, ahol a gyanújuk szerint a fenyegető szereplők a ProxyNotShell-t használták belépési vektorként.
Az elsődleges információk alapján a fertőzés elsősorban Microsoft Office és Open Office dokumentumokat, PDF és TXT fájlokat, adatbázis fájlokat, valamint fotó, zene és videófájlokat enkriptál. A fertőzött állományt az asztali ikonokon kívül a \Desktop\ -> \User_folders\ -> \%TEMP%\ -> könyvtáron belül helyezi el a kártevő programkód.
A számítógépen tárolt adatfájlok titkosítása után a „.txt” formátum mellett egy „.play” kiterjesztésű adatfájl, valamint egy másik szöveges dokumentum is létrejön a felhasználó asztalán, ami egy e-mail címet tartalmaz.
Biztonsági szempontból elsődleges feladat, hogy a vírussal detektált és megfertőzött számítógépet minél előbb izolálják a hálózatról, ezzel megelőzve a kártevő további terjedését. A nagyobb vírusdetektáló cégek még nem adtak ki megfelelő eszközt a vírus visszafejtéséhez, ezért a titkosított adatokat jelenleg nem lehet dekódolni.
A nevezett ransomware vizsgálatát követően megállapítást nyert, hogy a zsarolóvírust több vírusvédelmi rendszer is már ismeri, ezért annak használatát javasoljuk.
Mint korábban említettük, a Play neve a .play kiterjesztésből származik, amely a fájlok titkosítása után kerül hozzáadásra. A fenyegetés szereplői a HIVE és a Nokoyawa zsarolóprogramokhoz hasonlóan viselkednek és taktikáznak. Megfigyelték, hogy a fenyegető szereplő hasonló fájlneveket és fájlútvonalakat használ a vonatkozó eszközeik és hasznos terheik esetében. A Trend Micro arra utaló bizonyítékokat is talált, hogy a Nokoyawa mögött álló szereplők kapcsolatban állnak a HIVE mögött álló szereplőkkel, mivel számos hasonlóság van a támadási láncaik között.
A Play a HIVE-tól és a Nokoyawa-tól többek között az AdFind - egy parancssori lekérdező eszköz, amely az Active Directoryból (AD) gyűjt információkat - használatával különül el. A HIVE megfigyelések szerint olyan eszközöket használ, mint a TrojanSpy.DATASPY trójai az áldozatok adatainak gyűjtésére. A Play, a HIVE és a Nokoyawa nem feltétlenül osztozik minden mutatóban, de közös taktikájuk és eszközeik arra utalnak, hogy valamilyen módon kapcsolatban állnak egymással.
A Trend Micro bizonyítékot talált a Play és a Quantum ransomware közötti lehetséges kapcsolatra is. A Quantum arról ismert, hogy a Conti egy elágazó csoportja. A zsarolóvírus műveletet 2022 áprilisában vette át a Conti Team Two, de a csoport megtartotta a Quantum eredeti nevét. A Quantum arról is ismert, hogy a BazarCall Jormungandr nevű változatát alkalmazzák, és olyan embereket alkalmaznak, akik OSINT-re, spammelésre, tervezésre és call center műveletekre szakosodtak.
A Trend Micro kutatói szerint, a Play támadásaiban használt Cobalt Strike jelölők ugyanazzal a vízjellel rendelkeznek, amelyet az Emotet és az SVCReady botnetek dobtak le - két olyan botnet, amelyet a Quantum zsarolóvírusos támadásaiban figyeltek meg.
A zsarolóvírus terjesztéshez használt eszközök:
Eszköz | Cél | Nokoyawa és Hive zsarolóvírusok | Play zsarolóvírus |
---|---|---|---|
Nekto/PriviCMD | Jogosultságszint-emelés | ✓ | ✓ |
Cobalt Strike | Előkészítés | ✓ | ✓ |
Coroxy/SystemBC | Távoli hozzáférés | ✓ | ✓ |
GMER | Védelem kiiktatása | ✓ | ✓ |
PCHunter | Felderítés és a védelem kiiktatása | ✓ | |
AdFind | Felderítés | ✓ | |
PowerShell scripts | Felderítés | ✓ | |
PsExec | Zsarolóvírus terjesztés | ✓ | ✓ |
Jelenleg az esettel összefüggésbe hozható rendelkezésre álló indikátor:
sha256: 7d14b98cdc1b898bd0d9be80398fc59ab560e8c44e0a9dedac8ad4ece3d450b0
- https://nologs-nobreach.com/2022/07/24/play-ransomware/
- https://www.trendmicro.com/en_us/research/22/i/play-ransomware-s-attack-playbook-unmasks-it-as-another-hive-aff.html
- https://www.avertium.com/resources/threat-reports/an-in-depth-look-at-play-ransomware
- https://www.bleepingcomputer.com/forums/t/773651/play-ransomware-play-support-topic/
- https://malwarefixes.com/play-ransomware/
- https://nki.gov.hu/figyelmeztetesek/riasztas/riasztas-zsarolovirus-ransomware-tamadasokkal-kapcsolatban/
- https://nki.gov.hu/figyelmeztetesek/riasztas/riasztas-nyitott-rdp-port-biztonsagi-kockazatai/
- https://blogs.jpcert.or.jp/en/2019/12/emotetfaq.html
- https://threats.kaspersky.com/en/threat/Trojan-Banker.Win32.Emotet/
- https://www.bromium.com/wp-content/uploads/2019/07/Bromium-Emotet-Technical-Analysis-Report.pdf
- https://www.fortinet.com/blog/threat-research/deep-dive-into-emotet-malware.html
- https://www.heise.de/security/artikel/Emotet-Trickbot-Ryuk-ein-explosiver-Malware-Cocktail-4573848.html