Un nuovo gruppo si presenta sulla scena: SnapMC.

I componenti di SnapMC usano vulnerabilità note non patchate dei sistemi VPN e dei web server, per portare a termine attacchi in tempi molto brevi, senza nemmeno interrompere le operazioni dell’azienda colpita, chiedendo solamente il riscatto.

Il Threat Intelligence Group NCC, che ha condotto lo studio, non è riuscito a collegare le tecniche utilizzate a nessun attore malevolo conosciuto, data la loro rapidità sono stati chiamati SnapMC. La seconda parte del nome viene da una loro procedura che prevede un file programma mc.exe come strumento di esfiltrazione.

Dopo aver compromesso con successo l’applicazione web tramite una SQL Injection che porta a una RCE, l’attore esegue un payload per ottenere l’accesso tramite una reverse shell; questa minaccia sembra utilizzare il Proof of Concept di una nota vulnerabilità Telerik. Appena l’attaccante riesce a mettere le mani sulla tastiera viene eseguita una ricognizione di routine:

• Whoami – fornisce il nome computer e il nome dell’utente corrente
• whoami /priv – rivela i privilegi dell’utente corrente
• wmic logicaldisk get caption, description, provider name - lista le partizioni del disco di sistema
• net users /priv – stranamente questo non è un comando valido poiché /priv non è un’opzione valida per net user

Nella maggior parte dei casi, il gruppo non tenta neanche di scalare i privilegi, basando la loro tecnica di estorsione sulla rapidità e la paura; i dati vengono esfiltrati e la vittima informata dell’attacco. Viene dato così l’ultimatum: la vittima deve contattare l’attaccante entro 24 ore e chiudere la trattativa entro 72 (difficilmente la deadline viene rispettata poiché l’attaccante comincia a fare pressione molto prima). SnapMC invia una lista dei file che ha prelevato come prova dell’avvenuta esfiltrazione. 

La maggior parte delle volte l’attacco sarebbe già stato concluso, mentre in un caso isolato è stato osservato un tentativo di privilege escalation utilizzando una serie di Script Powershell noti: 

• Invoke-Nightmare 
• Invoke-JuicyPotato 
• Invoke-ServiceAbuse 
• Invoke-EventVwrBypass 
• Invoke-PrivescAudit 

La profilazione dell’attaccante è praticamente completa tanto che sono noti i vari tool che vengono utilizzati per effettuare la collezione di dati, come 7zip e invoke-SQLcmd scripts.  I file temporanei relativi all’esecuzione dei tool vengono appoggiati nelle cartelle:

• C:\Windows\Temp\
• C:\Windows\Temp\Azure
• C:\Windows\Temp\Vmware

per esfiltrare i dati viene usato il client MinIO.

Le richieste di riscatto senza che l’attacco venga portato a termine sono la naturale evoluzione del modello di business del ransomware. La moda degli attacchi brevi “senza attacco” è destinata a prendere sempre di più piede poiché non richiede skill e la massa è troppo spaventata per rischiare di prendersi un malware.

Tweet