Автоматизация вымогательства: MrAgent не оставляет шансов виртуальным машинам

Группировка RansomHouse, известная своей деятельностью в сфере вымогательства с использованием специализированных программ, разработала новый вредоносный инструмент под названием «MrAgent». Он предназначен для автоматизации распространения шифровальщика данных по нескольким гипервизорам VMware ESXi, что открывает новые возможности для атак на виртуальные машины.

RansomHouse является операцией типа «Ransomware-as-a-Service» (RaaS), которая появилась в декабре 2021 года и использует тактику двойного вымогательства. В мае 2022 года группировка создала в даркнете специальную страницу для публикации данных своих жертв.

Несмотря на то, что активность RansomHouse была не так высока, как у более известных групп, таких как LockBit, ALPHV/Blackcat, Play или Clop, аналитики Trellix отмечают , что за прошлый год группировка неоднократно атаковала крупные организации.

Серверы ESXi являются привлекательной целью для вымогательских группировок, поскольку они управляют виртуальными компьютерами, на которых часто хранятся ценные данные. Кроме того, на этих серверах часто работают критически важные приложения и сервисы для бизнеса, такие как базы данных и серверы электронной почты, что максимизирует операционные нарушения в случае атаки программой-вымогателем.

Инструмент MrAgent был разработан для упрощения хакерских атак на системы ESXi, позволяя идентифицировать хост-систему, отключить её брандмауэр и автоматизировать процесс развёртывания программы-вымогателя на нескольких гипервизорах одновременно. Инструмент способен скомпрометировать все управляемые виртуальные машины, поддерживая настройку конфигураций для развёртывания программы-вымогателя, полученные непосредственно от командного сервера.

MrAgent также может выполнять локальные команды на гипервизоре для удаления файлов, прерывания активных SSH-сессий, чтобы предотвратить вмешательство в процесс шифрования, и отправки информации о работающих виртуальных машинах.

Аналитики Trellix также заявили о наличии версии MrAgent для Windows, которая сохраняет основные функциональные возможности, но адаптирована к специфике операционной системы, включая использование PowerShell для выполнения определённых задач.

Адаптация инструмента MrAgent под разные платформы демонстрирует намерение RansomHouse максимизировать воздействие своих зловредных кампаний.

В условиях появления инструментов, подобных MrAgent, цифровая оборона любой организации должна включать в себя комплексные и надёжные меры безопасности, такие как регулярные обновления программного обеспечения, строгий контроль доступа, мониторинг сети и ведение журналов.