L’opération de rançongiciel Random House a créé un nouvel outil nommé « Mr Agent » qui automatise le déploiement de son chiffreur de données sur plusieurs hyperviseurs VMware ESXi.

Ransom House est une opération de ransomware en tant que service (RaaS) qui a vu le jour en décembre 2021 et utilise une double tactique d’extorsion. En mai 2022, l’opération a mis en place une page dédiée à l’extorsion de victimes sur le dark Web.

Bien que le gang de Random House n’ait pas été aussi actif que des groupes plus tristement célèbres comme Lock Bit, ALPHA/Black cat, Play ou Clop, Trellix rapporte qu’il a ciblé des organisations de grande taille tout au long de l’année dernière.

Tailles et nombres de victimes de Random House

MrAgent contre ESXi
Les groupes de ransomwares ciblent les serveurs ESXi car ils déploient et servent des ordinateurs virtuels qui contiennent généralement des données précieuses pouvant être utilisées dans le processus d’extorsion ultérieur.

De plus, les serveurs ESXi exécutent souvent des applications et des services critiques pour les entreprises, y compris des bases de données et des serveurs de messagerie, de sorte que les perturbations opérationnelles causées par l’attaque de ransomware sont maximisées.

Les analystes de Trellix ont repéré un nouveau binaire utilisé dans les attaques de RansomHouse qui semble être spécialement conçu pour rationaliser les attaques de gangs sur les systèmes ESXi.

La fonction principale de MrAgent est d’identifier le système hôte, de désactiver son pare-feu, puis d’automatiser le processus de déploiement de ransomware sur plusieurs hyperviseurs simultanément, compromettant toutes les machines virtuelles gérées.

L’outil prend en charge les configurations personnalisées pour le déploiement de ransomwares reçues directement du serveur de commande et de contrôle (C2).

Ces configurations incluent la définition de mots de passe sur l’hyperviseur, la configuration de la commande encrypter et de ses arguments, la planification d’un événement de chiffrement et la modification du message de bienvenue affiché sur le moniteur de l’hyperviseur (pour afficher un avis de rançon).

Configuration typique de l’agent Mr

MrAgent can also re-execute local commands on the hypervisor received from the C2 to delete files, delete active SSH sessions to avoid interference during the encryption process, and return information about running virtual machines.

By disabling the firewall and potentially deleting non-root SSH sessions, MrAgent minimizes the chances of detection and intervention by administrators while simultaneously increasing the impact of the attack by targeting all accessible virtual machines at once.

Trellix says it has spotted a Windows version of MrAgent, which retains the same basic features but offers specific adaptations to the operating system, such as the use of PowerShell for certain tasks.

The use of the MrAgent tool on different platforms shows Ransomware’s intention to extend the applicability of the tool and maximize the impact of their campaigns when the target uses both Windows and Linux systems.

« The efforts to (further) automate the steps that are otherwise often performed manually show both the interest and the willingness of the attacking affiliate to target large networks, » Trellix explains in the report.

The security implications of tools such as MrAgent are serious, so defenders must implement comprehensive and robust security measures, including regular software updates, strict access controls, network monitoring and logging to defend against such threats.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *