Grup ransomware Play telah mengembangkan dua alat khusus di .NET, yaitu Alat Penyalinan Grixba dan VSS, yang digunakannya untuk meningkatkan efektivitas serangan sibernya.
Kedua alat tersebut memungkinkan penyerang untuk menghitung pengguna dan komputer di jaringan yang dikompromikan, mengumpulkan informasi tentang keamanan, pencadangan, dan perangkat lunak administrasi jarak jauh, dan dengan mudah menyalin file dari Volume Shadow Copy Service (VSS) untuk mem-bypass file yang terkunci.
Peneliti keamanan di Symantec menemukan dan menganalisis alat baru dan berbagi temuan mereka dengan BleepingComputer sebelum menerbitkan laporan mereka.
Alat kustom baru
Grixba adalah alat pemindaian jaringan dan pencuri informasi yang digunakan untuk menghitung pengguna dan komputer dalam domain. Ini juga mendukung mode ‘pindai’ yang menggunakan WMI, WinRM, Remote Registry, dan Layanan Jarak Jauh untuk menentukan perangkat lunak apa yang berjalan pada perangkat jaringan.
Saat menjalankan fungsi pemindaian, Grixba akan memeriksa program anti-virus dan keamanan, rangkaian EDR, alat pencadangan, dan alat administrasi jarak jauh. Selain itu, pemindai memeriksa aplikasi kantor umum dan DirectX, berpotensi untuk menentukan jenis komputer yang sedang dipindai.
Alat ini menyimpan semua data yang dikumpulkan dalam file CSV, mengompresnya menjadi arsip ZIP, dan kemudian mengekstraknya ke server C2 penyerang, memberi mereka info penting tentang cara merencanakan langkah serangan selanjutnya.
Sumber: Symantec
Alat kustom kedua yang ditemukan oleh Symantec dalam serangan ransomware Play adalah VSS Copying Tool, yang memungkinkan penyerang berinteraksi dengan Volume Shadow Copy Service (VSS) melalui panggilan API menggunakan bundel Perpustakaan AlphaVSS .NET.
Volume Shadow Copy Service adalah fitur Windows yang memungkinkan pengguna membuat snapshot sistem dan salinan cadangan data mereka pada titik waktu tertentu dan memulihkannya jika terjadi kehilangan data atau kerusakan sistem.
Alat Penyalinan VSS memungkinkan Ransomware Play untuk mencuri file dari salinan volume bayangan yang ada bahkan ketika file tersebut sedang digunakan oleh aplikasi.
Kedua alat yang dianalisis oleh Symantec ditulis menggunakan alat pengembangan Costura .NET, yang dapat membangun executable mandiri yang tidak memerlukan ketergantungan, membuatnya lebih mudah diterapkan pada sistem yang disusupi.
Penggunaan alat khusus ransomware Play menunjukkan bahwa aktor ancaman terkenal bertujuan untuk meningkatkan efektivitas serangan mereka dan menjalankan tugas jahat mereka dengan lebih efisien.
Sejak awal tahun, Ransomware Play telah memiliki beberapa korban profil tinggi, termasuk Kota Oakland di California, Jaringan A10, Arnold ClarkDan Ruang rak.
