Discussione Malware PLAY Ransomware

[TheWorm91]

Vi condivido questo articolo che descrive il funzionamento del ransomware play che settimana scorsa ha colpito una pubblica amministrazione della mia zona.
A quanto pare play non è stato rilevato dall'antivirus e non ne esiste ancora uno in grado di rilevarlo.

Play Ransomware Attack Playbook Similar to that of Hive, Nokoyawa

Play is a new ransomware that takes a page out of Hive and Nokoyawa's playbook. The many similarities among them indicate that Play, like Nokoyawa, are operated by the same people.

www.trendmicro.com

 

[0xbro]

Molto interessante! L'utilizzo dei LOLBins mi affascina sempre, è incredibile come questi malware diventino creativi e utilizzino binari leciti per fare azioni malevole, riuscendo quindi a bypassare diverse protezioni.
Secondo me un EDR come CrowdStrike sarebbe riuscito ad individuare la minaccia, soprattutto perchè analizza i comportamenti e non solo i files in sè. Detto questo però molto particolare anche come questi ransomware continuino ad essere fork ed evoluzioni di malware precedenti... che tutti questi gruppi collaborino tra loro?

 

[TheWorm91]

Molto interessante! L'utilizzo dei LOLBins mi affascina sempre, è incredibile come questi malware diventino creativi e utilizzino binari leciti per fare azioni malevole, riuscendo quindi a bypassare diverse protezioni.
Secondo me un EDR come CrowdStrike sarebbe riuscito ad individuare la minaccia, soprattutto perchè analizza i comportamenti e non solo i files in sè. Detto questo però molto particolare anche come questi ransomware continuino ad essere fork ed evoluzioni di malware precedenti... che tutti questi gruppi collaborino tra loro?

Può darsi, l'aspetto più preoccupante che ho saputo tramite il responsabile ced è che ha trovato un .exe nel domain controller nella cartella di propagazione delle policy NETLOGON e non trova .exe sui client di rete criptati.
Detta così sembrerebbe che il ransomware abbia sfruttato il server di active directory per criptare i file nei client di rete senza auto-replicarsi su ogni client ed eludere eventuali software di rilevamento sugli endpoint di rete.
Infatti si sono accorti dell'attacco perchè i dipendenti non riuscivano a fare il login.

 

[JunkCoder]

Molto interessante! L'utilizzo dei LOLBins mi affascina sempre, è incredibile come questi malware diventino creativi e utilizzino binari leciti per fare azioni malevole, riuscendo quindi a bypassare diverse protezioni.
Secondo me un EDR come CrowdStrike sarebbe riuscito ad individuare la minaccia, soprattutto perchè analizza i comportamenti e non solo i files in sè. Detto questo però molto particolare anche come questi ransomware continuino ad essere fork ed evoluzioni di malware precedenti... che tutti questi gruppi collaborino tra loro?

Accade che i malware developer cambino "azienda" proprio come farebbero normali sviluppatori, portando con se le proprie conoscenze e tattiche preferite. I threat hunters lo sanno bene e quando trovano TTP comuni a due o più APT diverse cercano di capire che tipo di relazione ci può essere o se è possibile tracciare il singolo dev che si è spostato.

Può darsi, l'aspetto più preoccupante che ho saputo tramite il responsabile ced è che ha trovato un .exe nel domain controller nella cartella di propagazione delle policy NETLOGON e non trova .exe sui client di rete criptati.
Detta così sembrerebbe che il ransomware abbia sfruttato il server di active directory per criptare i file nei client di rete senza auto-replicarsi su ogni client ed eludere eventuali software di rilevamento sugli endpoint di rete.
Infatti si sono accorti dell'attacco perchè i dipendenti non riuscivano a fare il login.

Probabilmente è dovuto al fatto che per cifrare hanno usato WinRAR come lolbin, se era già presente sui client è sufficiente invocarlo più volte da linea di comando dal domain controller e può avvenire sia sulla porta 139 che sulla 445.