A RansomHub nevű ransomware csoport (ransomware-as-a-service: RaaS) egy partnere egy új, egyedi hátsó ajtót (backdoor) kezdett használni támadásaiban. A Betruger nevű rosszindulatú program egy ritka példa a többfunkciós hátsó ajtókra, amelyet látszólag kifejezetten ransomware támadások végrehajtására fejlesztettek ki.
A titkosító payloadokon kívüli egyedi rosszindulatú programok használata viszonylag szokatlan a ransomware támadások során. A legtöbb támadó megbízható eszközökre, a “living off the land” technikára és nyilvánosan elérhető malwarekre, például Mimikatz-ra és Cobalt Strike-ra támaszkodik. A ransomware csoportok alkalmanként fejlesztenek egyedi eszközöket is, főként adatexfiltráció céljából, mint például a Coreid csoport Infostealer[.]Exmatter vagy a Hecamede csoport Infostealer[.]Exbyte eszközei.
A Betruger tulajdonságai
A Betruger backdoor elemzése során kiderült, hogy olyan funkciókat tartalmaz, amelyek általában több, a ransomware-t megelőző eszközökben találhatóak meg, mint például:
- Képernyőképek készítése
- Billentyűleütések naplózása
- Fájlok feltöltése egy parancs- és vezérlőszerverre (C&C)
- Hálózat szkennelése
- Jogosultsági szint emelése
- Hitelesítő adatok kinyerése
A rosszindulatú program különböző verziói olyan fájlneveket tartalmaznak, mint a mailer[.]exe vagy a turbomailer[.]exe. A hátsó ajtó nem tartalmaz semmilyen levelezési funkciót, így lehetséges, hogy a támadók ezekkel a fájlnevekkel álcázzák legitim alkalmazásnak a programot.
A Betruger funkcióit vizsgálva, arra lehet következtetni, hogy a támadók szeretnék minimalizálni a ransomware támadás előkészítése során az adott hálózatra telepített új eszközök számát.
A Betruger csak egy a RansomHub partnerei által az elmúlt hónapokban használt számos eszköz közül. Egyre több ransomware támadó használ olyan eszközöket, amelyek a “Bring Your Own Vulnerable Driver” (BYVOD) technikát alkalmazzák a biztonsági megoldások kikerülésére, leggyakrabban az EDRKillshifter elnevezésűt. A támadók több sebezhetőséget is kihasználtak, köztük egy Windows Privilege Escalation exploitot (CVE-2022-24521) és egy Veeam exploitot (CVE-2023-27532), amely biztonsági mentések hitelesítő adatait szivárogtatja ki.
