Beast Ransomware elemzése
A Team Cymru elemzés betekintést ad a Beast ransomware operátorok teljes támadási láncába, miután egy nyilvánosan elérhető szerveren keresztül sikerült feltérképezni a csoport teljes eszközkészletét. Az eset különösen értékes, mert nem izolált malware mintát, hanem egy komplett RaaS operációs toolkitet tár fel, a felderítéstől egészen a titkosításig.
A Beast, amely a Monster ransomware utódjaként jelent meg tipikus kettős zsarolási modellt alkalmaz, saját BEAST LEAKS adatszivárogtató infrastruktúrával, és több platformot céloz.
A kiszivárgott adatok szerint a támadók szinte kizárólag legitim, széles körben használt eszközökre építenek. A kezdeti fázisban Advanced IP Scanner és Advanced Port Scanner segítségével térképezik fel a hálózatot, míg az Everything.exe és FolderSize eszközökkel azonosítják a legnagyobb értékű adatokat tartalmazó rendszereket.
A következő lépcső a credential access és privilege escalation, ahol ipari standard eszközöket használnak, mint a Mimikatz, LaZagne és Automim. Ezeket registry-módosítással és Kerberoasting script-ekkel egészítik ki, amely lehetővé teszi a domain szintű kompromittálást.
A perzisztencia és laterális mozgás során szintén dual-use megközelítés figyelhető meg, AnyDesk, PsExec és OpenSSH biztosítják a hálózaton belüli terjedést és a tartós hozzáférést. Ez a modell jelentősen csökkenti a detekció esélyét, mivel a forgalom legitim adminisztratív tevékenységnek tűnik.
A támadás kritikus eleme az adatlopás, amely a titkosítás előtt történik. A Beast operátorok MEGASync, WinSCP és Klink eszközöket használnak nagy volumenű adatok felhőbe történő feltöltésére, ami a double extortion modell alapját képezi.
A végső fázisban jelennek meg a romboló TTP-k, a disable_backup.bat script törli a Volume Shadow Copy-kat és letiltja a backupokat, míg a CleanExit.exe a nyomok eltüntetésére szolgál. Maga a titkosítás dedikált binárisokkal történik, ami többplatformos támadási képességet jelez.
Stratégiai szinten a legfontosabb megállapítás, hogy a Beast toolkit nem tartalmaz jelentős zero-day innovációt, hanem standardizált, újrahasznosított eszközökből építkezik, amelyek jól ismert TTP-ket valósítanak meg teljes kill chain lefedéssel. Ez erősen iparosított működésre utal, ahol a hatékonyság és skálázhatóság fontosabb, mint a technikai újdonság.
