La operación de ransomware RansomHouse ha creado una nueva herramienta llamada ‘MrAgent’ que automatiza la implementación de su cifrado de datos en múltiples hipervisores VMware ESXi.
RansomHouse es una operación de ransomware como servicio (RaaS) que surgió en diciembre de 2021 y utiliza tácticas de doble extorsión. En mayo de 2022, la operación creó una página dedicada a la extorsión de víctimas en la web oscura.
Aunque la pandilla RansomHouse no fue tan activa como grupos más infames como LockBit, ALPHV/Blackcat, Play o Clop, Trellix informa que apuntó a organizaciones de gran tamaño durante el año pasado.
MrAgent frente a ESXi
Los grupos de ransomware se dirigen a los servidores ESXi porque implementan y sirven computadoras virtuales que generalmente contienen datos valiosos que pueden usarse en el proceso de extorsión posterior.
Además, los servidores ESXi suelen ejecutar aplicaciones y servicios críticos para las empresas, incluidas bases de datos y servidores de correo electrónico, por lo que se maximiza la interrupción operativa provocada por el ataque de ransomware.
Los analistas de Trellix, en colaboración con Northwave, han detectado un nuevo binario utilizado en los ataques RansomHouse que parece estar diseñado específicamente para agilizar los ataques de pandillas a los sistemas ESXi.
La muestra fue descubierta por primera vez por el investigador Florian Roth, mientras que MalwareHunterTeam fue el primero en tuitear al respecto en septiembre de 2023 .
La función principal de MrAgent es identificar el sistema host, apagar su firewall y luego automatizar el proceso de implementación de ransomware en múltiples hipervisores simultáneamente, comprometiendo todas las máquinas virtuales administradas.
La herramienta admite configuraciones personalizadas para la implementación de ransomware recibidas directamente desde el servidor de comando y control (C2).
Estas configuraciones incluyen establecer contraseñas en el hipervisor, configurar el comando de cifrado y sus argumentos, programar un evento de cifrado y cambiar el mensaje de bienvenida que se muestra en el monitor del hipervisor (para mostrar un aviso de rescate).
MrAgent también puede ejecutar comandos locales en el hipervisor recibido del C2 nuevamente para eliminar archivos, cancelar sesiones SSH activas para evitar interferencias durante el proceso de cifrado y enviar información sobre las máquinas virtuales en ejecución.
Al deshabilitar el firewall y potencialmente eliminar las sesiones SSH no root, MrAgent minimiza las posibilidades de detección e intervención por parte de los administradores y, al mismo tiempo, aumenta el impacto del ataque al atacar todas las máquinas virtuales accesibles a la vez.
Trellix dice que ha detectado una versión de MrAgent para Windows, que conserva la misma funcionalidad principal pero presenta adaptaciones específicas del sistema operativo, como el uso de PowerShell para ciertas tareas.
El uso de la herramienta MrAgent en diferentes plataformas muestra la intención de RansomHouse de ampliar la aplicabilidad de la herramienta y maximizar el impacto de sus campañas cuando el objetivo utiliza sistemas Windows y Linux.
“Los esfuerzos para (aún) automatizar los pasos que de otro modo a menudo se ejecutan manualmente muestran tanto el interés como la voluntad del afiliado atacante de apuntar a redes grandes”, dice Trellix en el informe.
Las implicaciones de seguridad de herramientas como MrAgent son graves, por lo que los defensores deben implementar medidas de seguridad integrales y sólidas, incluidas actualizaciones periódicas de software, controles de acceso estrictos, monitoreo de red y registros para defenderse contra tales amenazas.