top of page

"Ransom Cartel" ransomware-as-a-service

Palo Alto Networks Unit42 je napisao veoma detaljan izvještaj o unutrašnjem radu porodice ransomware-a "Ransom Cartel". To je ransomware-as-a-service (RaaS) koji se pojavio sredinom decembra 2021. i koristi širok spektar taktika i tehnika tipičnih za današnje zlonamjerne aktere. Također, poznato je da se koristi pristup dvostruke iznude, odnosno, ne samo šifriranja fajlova, već i prijetnji da se ukradeni podaci objavljuju.


Neke od tehnika Ransom Cartela, korištenih tokom napada su:

  • Korišćenje alata kao što su DonPAPI, LaZagne i Mimikatz, za izbacivanje kredencijala iz različitih izvora, uključujući memoriju, web pretraživače, Wi-Fi ključeve i skladišta lozinki za udaljenu radnu površinu (RDP). Ukratko, sve što je uskladišteno na kompromitovanom računaru, kao što su keširani akreditivi, koristiće se za dalje povećanje pristupa.

  • Posebna pažnja posvećena je Vmware ESXi kao jednoj od najčešćih komponenti infrastrukture u većini organizacija. Da bi kompromitovao ESXi uređaje, Ransom Cartel koristi DonPAPI za prikupljanje kredencijala u web pretraživačima koji se koriste za autentifikaciju na web interfejsu vCenter. Nakon autentifikacije na vCenter, napadači automatski dozvoljavaju SSH pristup ESXi serverima kojima upravlja vCenter: tada će kreirati novi SSH nalog i postaviti identifikator korisnika (UID) naloga na nulu, što znači da je postignuta perzistentnost root pristupa.

  • Kada je VMware ESXi server kompromitovan, zlonamjerni akter pokreće kriptor koji će automatski nabrojati pokrenute virtuelne mašine (VM) i isključiti ih pomoću komande esxcli. Rezultat je šifriranje i uništavanje cjelokupnih slika Vmware servera pohranjenih u .vmdk i srodnim datotekama.

  • Da bi dobio početni pristup sistemu, Ransom Cartel koristi kompromitovane važeće VPN, RDP, Citrix ili VNC naloge, najvjerovatnije dobijene phishingom.

Osim uobičajenog phishinga kao ulazne tačke, čini se da je glavni fokus ovdje damping kredencijala i Vmware infrastruktura.


Saznajte ovdje više o tehnikama "Ransom Cartel" u blogu Unit42.






Latest news

bottom of page