El grupo criminal Play ransomware ha desarrollado dos herramientas personalizadas, en .NET, denominadas Grixba y VSS Copying Tool, las cuales son utilizadas para mejorar la efectividad de sus propios ataques.
Las dos herramientas permiten a los atacantes enumerar usuarios y computadoras, en una red comprometida, recolectar información relacionada a seguridad, backups y software de administración remota, y así, fácilmente copiar archivos del servicio de instantáneas de volumen (VSS) para eludir archivos bloqueados.
las herramientas
La primera herramienta que nos encontramos es “Grixba” (infostealer.Grixba) la cual es una herramienta de escaneo de red usada para enumerar todos los usuarios en el dominio. Los actores de amenazas utilizan el infostealer .NET para enumerar software y servicios via WMI, WinRM, Registro Remoto y Servicios Remotos. El malware busca la existencia de software de seguridad y backup así como herramientas de administración remota, entre otros programas, para luego almacenar la información conseguida en archivos CSV los cuales son comprimidos en un archivo ZIP para luego ser filtrada al servidor C2 de los atacantes.
Grixba fue desarrollada haciendo uso de Costura, una herramienta .NET popular por la incorporación las dependencias de una aplicación en un solo archivo ejecutable. Costura incorpora dentro de las aplicaciones el archivo DLL costura.commandline.dll, la cual es utilizada por Grixba para analizar líneas de comando. Grixba despliega un mensaje de ayuda como el que se presenta a continuación.
Como segunda herramienta, nos encontramos con “VSS Copying Tool” el cual fue, de igual manera, desarrollado con la herramienta de Costura. VSS Copying Tool permite al atacante interactuar con el servicio de instantáneas de volumen (VSS) por medio un conjunto de APIs. Los desarrolladores pueden hacer uso de estas APIs para generar, manejar y borrar copias sombra, así como, acceso a información de copias sombra existentes como lo son el tamaño y el estatus.
La herramienta creada por los operadores de Play ransomware hace uso de AlphaVSS para copiar archivos VSS. Esta enumera los archivos y folders en una instantánea VSS y las copia en el directorio destino. La herramienta permite que el atacante copie archivos desde volúmenes VSS en máquinas comprometidas, antes del cifrado, lo que permite al atacante copiar archivos que normalmente podrían estar bloqueados por el sistema operativo.
Play ransomware es conocido por apuntar a vulnerabilidades de Microsoft Exchange (CVE-2022-41080, CVE-2022-41082) entre otras fallas y así obtener código de ejecución remota (RCE) e infiltrarse en la red de la víctima.
indicadores de compromiso
SHA256
- 762bb8a7209da29afb89f7941ae1c00a04cf45a144c6c5dddcfa78ff0d941539 – Play ransomware
- 86e4e23f9686b129bfb2f452acb16a4c0fda73cf2bf5e93751dcf58860c6598c – SystemBC malware
- f706bae95a232402488d17016ecc11ebe24a8b6cb9f10ad0fa5cbac0f174d2e7 – SystemBC malware
- c59f3c8d61d940b56436c14bc148c1fe98862921b8f7bad97fbc96b31d71193c – Infostealer.Grixba
- 453257c3494addafb39cb6815862403e827947a1e7737eb8168cd10522465deb – Infostealer.Grixba
- f71476f9adec70acc47a911a0cd1d6fea1f85469aa16f5873dd3ffd5146ccd6b – Infostealer.Grixba
- a8a7fdbbc688029c0d97bf836da9ece926a85e78986d0e1ebd9b3467b3a72258 – NetScan
- 5ef9844903e8d596ac03cc000b69bbbe45249eea02d9678b38c07f49e4c1ec46 – NetScan
- f81bd2ac937ed9e254e8b3b003cc35e010800cbbce4d760f5013ff911f01d4f9 – VSS copying tool
- 367d47ad48822caeedf73ce9f26a3a92db6f9f2eb18ee6d650806959b6d7d0a2 – WinRAR
- 6f95f7f53b3b6537aeb7c5f0025dbca5e88e6131b7453cfb4ee4d1f11eeaebfc – WinSCP
- 1409e010675bf4a40db0a845b60db3aae5b302834e80adeec884aebc55eccbf7 – PsExec
la red
- 220[.]49.66 – SystemBC C&C
- justiceukraine.com – SystemBC C&C
