A Crash Course on RansomEXX (aka Defray777)

RansomExx (aka Defray777, 777 o Ransom X) è una variante ransomware multi-piattaforma operata a basso volume di diffusione come parte di attacchi informatici in più fasi che prendono di mira organizzazioni, enti governativi ed aziende attive in vari settori.

E’ stata protagonista di diversi attacchi di alto profilo nel 2020 e 2021 e la crew che lo mantiene, chiamata Sprite Spider, appare piuttosto attiva nei suoi aggiornamenti e sviluppi.

Alcuni dei loro attacchi hanno visto fra le vittime realtà come Konica Minolta, Tyler Technologies, Montreal Transit System, Texas Department of Transportation, Brazilian Judiciary, Consiglio Nazionale del Notariato, WT Microelectronics, Corporación Nacional de Telecomunicación e recentissimamente, in accordo con quanto riportato da Bleeping Computer, la Regione Lazio (https://www.bleepingcomputer.com/news/security/ransomware-attack-hits-italys-lazio-region-affects-covid-19-site/)

Sprite Spider è un gruppo di cyber-criminali motivato finanziariamente e specializzato in attacchi post-intrusione finalizzati alla diffusione di ransomware. Il gruppo è correlato principalmente alla già citata famiglia malware nota con il nome di RansomEXX (o Defray777).

Molti degli attacchi ad esso attribuiti hanno visto lo sfruttamento di credenziali di accesso remoto rubate (solitamente VDI/VPN) al fine di ottenere un primo accesso al perimetro vittima. In passato, tuttavia, sono altresì state confermate infezioni RansomExx originate da impianti malware di comodità quali IcedID e Trickbot.

Sprite Spider è una crew attiva almeno dal 2017 e si caratterizza solitamente per la sua efficacia e velocità nel compromettere un ambiente vittima, utilizzando maggiormente tools offensivi come Vatet (o VatetLoader), PyXie e Cobalt Strike per ottenere esecuzione di payload malevoli di secondo e terzo stadio, performare movimentazione laterale, garantire persistenza ed in generale perseguire come scopo la maggiore penetrazione possibile all’interno degli ambienti colpiti.

In via generale, a seguito di una prima intrusione, il loro arsenale mira ad ottenere credenziali privilegiate sull’AD (Active Directory, come del resto altri gruppi simili) per poi diffondere payloads di secondo e terzo stadio (l’ultimo, ovviamente, è rappresentato dal ransomware RansomEXX). Solitamente, a partire dal primo accesso, passano da uno a tre giorni per il rilascio del payload finale.

Nonostante Sprite Spider si sia trovato spesso in prossimità di dati di grande valore, in qualche caso è stato osservato non esfiltrare dati dalle vittime ma si è “limitato” a renderli solo indisponibili. Tuttavia, la frequenza nelle pratiche di esfiltrazione dati è aumentata nell’ultimo periodo di attività anche se in prima battuta il gruppo sembra interessarsi al collezionamento di credenziali utili per l’accesso a sistemi partner della vittima o servizi di terze parti.

La crew risulta spesso in grado di sfuggire ed evadere anche le soluzioni di sicurezza endpoint e di rete più avanzate nascondendo frammenti del proprio codice malevolo in progetti open-source ed adottando un approccio all’operazione che vede, come linea di principio, la scrittura di pochissimi files su disco complicando di molto le attività di rilevamento.

Molto spesso, infatti, l’unico payload scritto su disco risulta quello di Vatet, il che complica enevitabilmente anche le attività di risposta agli incidenti. RansomEXX, invece, viene solitamente eseguito come payload secondario (talvolta terziario) direttamente in memoria senza mai toccare il disco.

L’attore di solito prepara un payload RansomEXX unico e specifico per ciascuna delle vittime, rendendo l’impianto più elusivo e difficile da tracciare. Durante la sua esecuzione, esso ha la capacità di terminare alcuni thread e processi “indesiderabili” come powershell.exe, rundll32.exe, vmnat.exe, wefault.exe ed explorer.exe. È in grado di crittografare i file utilizzando AES-256 senza interrompere le funzionalità principali del sistema ed esegue specifici comandi di interazione con esso sempre dopo che i file sono già stati impattati dalle sue operazioni. Questo fa sì molto spesso che i file risultino già crittografati nel momento in cui gli strumenti di sicurezza, come gli EDR, riescano a segnalare potenziali attività dannose.

Nel 2020, Sprite Spider si è evoluto per prendere di mira non solo le piattaforme Windows ma anche quelle Linux mediante un porting dedicato della versione PE RansomEXX (con la quale condivide logica operativa ed ingegneria), rendendolo il primo ransomware ad avere un eseguibile autonomo sia per Windows che per Linux. Per tale motivo Sprite Spider è anche in grado di focalizzare la propria attenzione verso infrastrutture che abbiano la capacità di eseguire binari ELF, come i server VMWare ESXI.

Tuttavia, nonostante l’attenzione per i dettagli e l’eleganza mostrata durante le operazioni, Sprite Spider include anche componentistica che potremmo definire “semplice” nel proprio arsenale, compreso lo stesso RansomEXX.

Esso infatti risulta piuttosto immediato ed orientato all’efficacia piuttosto che alla complessità. Tuttavia, risulta assolutamente performante ed affidabile nell’eseguire il compito per il quale risulta progettato.

Cenni Tecnici: RansomEXX

Come accennato, RansomEXX è un payload semplice. All’avvio recupera una serie di stringhe utili al proseguimento delle operazioni ed alla scrittura di log di esecuzione

Crea un mutex dal GUID della macchina e prosegue terminando quei processi e servizi di sistema che potrebbero interferire con le proprie finalità

Dopo tali fasi preparatorie il payload provvede a cifrare i file presenti sul sistema. I file vengono crittografati utilizzando AES in modalità ECB con una chiave a 256 bit generata in modo univoco per ciascun file. La chiave viene quindi crittografata utilizzando una chiave pubblica RSA a 4096 bit ed inclusa al file crittografato. Il ransomware, a questo punto, esegue dunque la disabilitazione del file recovery e del system restore

Infine, sovrascrive i file cancellati in modo da assicurarsi che essi non possano essere recuperati via carving del disco

Dopo tali operazioni una serie di istruzioni per il recupero dei files viene mostrato alla vittima attraverso un messaggio simile al seguente:

L’attore genera un link univoco e specificatamente dedicato per ogni singola vittima presso il proprio DLS (Data Leak Site, attivo da Novembre/Dicembre 2020). Navigando tale link le vittime hanno di solito la possibilità di osservare parte dei dati ad esse esfiltrati e di acquisire ulteriori istruzioni su come mettersi in contatto con la crew per trattare il recupero dei files.

Rilevamento

rule RansomEXX_Ransomware_827322_00002 {
meta:
description = “Detects variants of RansomEXX ransomware payloads for Windows”
author = “Emanuele De Lucia”
strings:
$ = “vmnat.exe” fullword wide
$ = “cipher.exe” fullword wide
$ = “wbadmin.exe” fullword wide
$ = “BackupExecDeviceMediaService” fullword wide
$ = “BackupExecManagementService” fullword wide
$ = “BackupExecRPCService” fullword wide
$ = “ani|.cab|.cpl|.cur|.diagcab|.diagpkg|.dll|.drv|.hlp|.icl|.icns|.ico|.iso|.ics|.lnk|.idx|. mod|.mpa|.msc|.msp|.msstyles|.msu|.nom” ascii
$ = “debug.txt” fullword wide
condition:
uint16(0) == 0x5a4d and all of them
}

Conclusioni

Vista la natura e la tipologia della minaccia l’attacco contro Regione Lazio mostrerebbe tutte le connotazioni di una operazione di tipo opportunistico di matrice criminale. Sprite Spider, infatti, pur operando in maniera similare a gruppi di matrice statuale più vicini a minacce di tipo APT, è solitamente motivato dal guadagno economico ed non vi sono, ad oggi, evidenze tali che suggeriscano che il gruppo sia mosso da scopi diversi. Infine, non mi sentirei di escludere ulteriori vittime italiane da parte di questo attore nell’immediato futuro.

Share:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *