Автоматизация вымогательства

Группировка RansomHouse, известная многочисленными нападениями на крупные организации, разработала новый вредоносный инструмент под названием MrAgent.

В условиях распространения подобных инструментов ИБ любой компании должна быть укреплена комплексными мерами: регулярным обновлением ПО, строгим контролем доступа, постоянным мониторингом сети и ведением журналов. И вот почему.

MrAgent разработан для автоматизации распространения шифровальщика данных по нескольким гипервизорам VMware ESXi для атак на виртуальные машины. Серверы ESXi — привлекательная цель для злоумышленников, поскольку они управляют виртуальными компьютерами, на которых хранятся ценные данные: базы данных и почтовые серверы.

Инструмент MrAgent позволяет обойти брандмауэр и автоматизировать процесс развертывания программы-вымогателя на нескольких гипервизорах одновременно, компрометируя все управляемые виртуальные машины и настраивая конфигурации для развертывания программы-вымогателя непосредственно из командного сервера. Он также может выполнять локальные команды на гипервизоре, удаляя файлы, прерывая активные SSH-сессии для предотвращения вмешательства в процесс шифрования и отправки информации о работающих виртуальных машинах.

Важно отметить, что адаптация инструмента MrAgent под разные платформы свидетельствует о стремлении RansomHouse максимизировать воздействие своих вредоносных кампаний.