A Black Shrantac ransomware csoport legitim eszközöket használ
A Marlink legújabb elemzése rámutat arra, hogy a 2025 szeptember óta aktív és gyorsan fejlődő Black Shrantac ransomware csoport egyre inkább legitim adminisztrátori eszközöket használ fel arra, hogy behatoljon a vállalati környezetekbe és ott működjön. Kettős zsarolási technikákat alkalmaz és kritikus sérülékenységeket, például a CVE-2024-3400-at használja ki a kezdeti hozzáférés megszerzéséhez, gyakran a hálózati perimeter-t kihasználásával.
A Marlink kutatása rávilágít a ransomware műveletek szélesebb körű taktikai változására: a Black Shrantac a támadások felgyorsítása és a láthatóság csökkentése érdekében inkább megbízható eszközökre és meglévő infrastruktúrára támaszkodik, mint egyedi kártevőprogramokra. Ez a megközelítés gyorsabb végrehajtást tesz lehetővé és korlátozza a hagyományos észlelési lehetőségeket.
A Black Shrantac ellentétben egyes, egy adott szektorra vagy régióra összpontosító ransomware csoportokkal, opportunisztikusan működik – ott csap le, ahol a körülmények megfelelőek –, és már számos áldozatot szedett a gyártási, pénzügyi szolgáltatási, technológiai, vendéglátóipari szektorban, valamint a közszférában különböző földrajzi területeken.
A Marlink megállapította, hogy a behatolás után a Black Shrantac több, egymást kiegészítő perzisztencia-mechanizmust hoznak létre. A SimpleHelp nevű, legitim távoli hozzáférési eszközt állandó Windows-szolgáltatásként telepítik, hogy fenntartsák a C2 csatornát, amely így beleolvad a normál forgalomba. Egyes hosztokon a Net Monitor for Employees Agent programot is alkalmazzák, hogy fenntartsák a kommunikációt.
A csoport emellett új tartományi fiókokat is létrehoz. A hitelesítő adatokhoz való hozzáféréshez a csoport a natív Windows klist[dot]exe segédprogramot használja az aktív Kerberos-munkamenetek enumerálására és a jegyek begyűjtésére a pass-the-ticket támadásokhoz. Ez egy újabb „living-off-the-land” megközelítés, amelynek célja elkerülni az észlelést.
Miután bejutott a Black Shrantac egy hálózatba, szisztematikus felderítést végez a SoftPerfect Network Scanner segítségével, amely minimális nyomokat hagy maga után, és legitim tartományi hitelesítő adatokkal fut, hogy feltérképezze a hosztokat, a szolgáltatásokat és a hálózati topológiát.
Az oldalirányú mozgás több technikát ötvöz. Az RDP a fő terjedési útvonal a tartományvezérlők, szerverek és munkaállomások között, amely során mind a támadó által létrehozott, mind a feltört fiókokat felhasználják, a PSExec pedig az SMB-n keresztül biztosítja a távoli parancsok végrehajtását. A csoport emelett a MightyViewer VNC-t, a WinFsp-t is használja.
Javasolt a schtasks.exe tevékenységének monitorozása, mivel a scheduled feladatok központi szerepet játszanak mind a rendszerben való tartós jelenlét fenntartásában, mind a ransomware hasznos terhelésének terjesztésében. Kiemelt figyelmet kell fordítani továbbá a Kerberos jegyigénylésekkel kapcsolatos rendellenességekre (Event ID 4769) és az interaktív bejelentkezési eseményekre (Event ID 4624, Logon Type 10) is, amelyek általános vagy szolgáltatásnévvel ellátott fiókok alatt, több hoszton, rövid időintervallumokon belül jelentkeznek.
