Durante una recente indagine, il team Unit 42 di Palo Alto Networks ha individuato un attacco ransomware effettuato dal gruppo Vice Society. I cybercriminali hanno utilizzato uno script PowerShell per automatizzare il furto dei dati che verranno eventualmente diffusi online, se la vittima non paga il riscatto. Questo è uno dei metodi più sfruttati per aggirare le protezioni di sicurezza.
Esfiltrazione con PowerShell
Lo script w1.ps1
utilizza un indirizzo IP del controller di dominio all’interno di un percorso URN (Uniform Resource Name), specificando la condivisione di amministrazione s$. L’obiettivo è accedere ad ogni endpoint della rete e rubare i dati in maniera automatica. Ciò avviene attraverso quattro funzioni che effettuano la “scansione” dei volumi e delle directory.
Lo script ignora i file senza estensione e quelli con dimensione inferiore a 10 KB. La scelta dei file da rubare dipende da specifiche liste di inclusione ed esclusione. Ad esempio, non vengono sottratti dati dalle directory di Windows, dei programmi installati e dei backup.
Per evitare la rilevazione sono stati implementati alcuni accorgimenti, come il numero di limitato di operazioni eseguite contemporaneamente, in modo da sfruttare al minimo le risorse (CPU e RAM) del computer. L’ultima funzione dello script invia i dati rubati al server remoto attraverso una connessione HTTP.
Il team Unit 42 di Palo Alto Networks sottolinea le conoscenze professionali del gruppo Vice Society. A causa delle caratteristiche di PowerShell è piuttosto difficile prevenire questo tipo di attacco. I ricercatori hanno fornito alcuni consigli da seguire per ridurre i rischi.