I ricercatori di Symantec hanno scoperto due nuovi tool custom usati dai cybercriminali per raccogliere informazioni sui computer. Grixba e VSS Copying Tool consentono di effettuare la scansione della rete e di rubare le copie shadow dei volumi, prima di installare il ransomware Play. Gli utenti dovrebbero usare una soluzione di sicurezza aggiornata che rileva e blocca queste minacce recenti.
Grixba e VSS Copying Tool: funzionalità
Grixba è un tool di scansione della rete e info-stealer che identifica tutti gli utenti e tutti i computer nel dominio. Sfruttando software di gestione, tra cui WMI e WinRM, può scoprire servizi in esecuzione, applicazioni di backup e antivirus. Crea quindi file CSV che vengono aggiunti ad un archivio ZIP e inviati al server C2C (command and control) controllato dai cybercriminali.
VSS Copying Tool viene invece utilizzato per accedere al servizio copia shadow del volume di Windows, sfruttando la libreria .NET AlphaVSS. Il tool consente di prelevare file e cartelle dalla copie di backup (snapshot), anche se sono attualmente in uso e quindi bloccati dal sistema operativo.
La scansione della rete e il furto dei dati sono due operazioni preliminari. La catena di infezione termina con l’installazione del ransomware Play. Il malware sfrutta la cosiddetta crittografia a intermittenza che velocizza l’operazione, impedendo comunque il recupero dei file senza il decryptor che (teoricamente) verrà fornito dai cybercriminali solo se la vittima paga il riscatto. Se ciò non avviene, i dati vengono pubblicati online (doppia estorsione).