RansomHouse titkosításának fejlődése
A RansomHouse egy ransomware-as-a-service (RaaS) művelet, amelyet egy a Unit 42 által Jolly Scorpius néven nyilvántartott csoport működtet. A RansomHouse műveletekben használt bináris fájlok legújabb mintái jelentős fejlesztést mutatnak a titkosítás terén.
A Jolly Scorpius a már klasszikus kettős zsarolási stratégiát alkalmazza. A Unit 42 elemzésének írása közben a RansomHouse leak oldalon már 123 áldozat szerepelt, akiknek adatait 2021 decembere óta nyilvánosságra hozták vagy eladták. A csoport kritikus szektorokat célzott meg eddig, többek között az egészségügyet, a pénzügyi és közlekedési szektor, valamint a kormányzatot.
A RansomHouse támadási láncban három különböző szerepkört azonosított a Unit 42: operátor, támadó és áldozat. A támadások során az operátorok felelősek a RaaS létrehozásáért és fenntartásáért, beleértve az adat titkosítására és egyéb funkciókra szolgáló eszközök fejlesztését. Az ebben a szerepkörben dolgozók kezelik a leak oldalt és architektúrát, hogy tárgyalhassanak a váltságdíj kifizetéséről az áldozatokkal. Ez magában foglalja a váltságdíj beszedésére és pénzmosásra szolgáló kriptovaluta pénztárcák kezelését is.
A támadók általában affiliate-ként ismertek, mivel ők az operátoroktól független kiberszereplők. A támadók felelősek a kezdeti hozzáférés megszerzéséért, a laterális mozgásért, az adatok kiszivárogtatásáért és a ransomware telepítéséért is. A RansomHouse támadók arról ismertek, hogy a VMware ESXi infrastruktúrát veszik célba, mert ennek a platformnak a kompromittálásával egyszerre több tucat vagy több száz virtuális gépet tudnak titkosítani, ami jelentős működési zavart okoz.
A RansomHouse egy MrAgent nevű felügyeleti eszközt használ, amelynek célja az ESXi környezetben található különböző hypervisor rendszereken történő ransomware telepítések automatizálása és nyomon követése. A RansomHouse a Mario nevű titkosító programot használja. A fájlok titkosítása után a Mario egy váltságdíj-üzenetet hagy hátra, amely tartalmazza az áldozatok számára az adatok helyreállításához szükséges utasításokat.
A Unit 42 két különböző Mario verziót azonosított, egy eredeti és egy javított verziót. Az eredeti Mario verziónak egyszerű és alapvető titkosítási rutinja van. Ezzel szemben a frissített Mario verzió kétlépcsős fájlátalakítást alkalmaz, amely egy másodlagos titkosítási kulcsot is magában foglal. A frissített verzió kódja egy kétfaktoros titkosítási sémát követ, amelyben a fájlt mind az elsődleges, mind a másodlagos kulccsal titkosítják. Az adatok titkosítását minden kulcs esetében külön-külön végzik. Ez jelentősen megnehezíti az adatok visszafejtését, ha nem áll rendelkezésre mindkét kulcs.
