Το Makop Ransomware εκμεταλλεύεται συστήματα RDP με AV Killer και άλλα Exploits

Το Makop ransomware, ένα στέλεχος της οικογένειας κακόβουλου λογισμικού Phobos που εντοπίστηκε για πρώτη φορά το 2020, συνεχίζει να εξελίσσεται σε σημαντική απειλή για τις επιχειρήσεις παγκοσμίως.

Πρόσφατη ανάλυση αποκαλύπτει ότι οι επιτιθέμενοι συνδυάζουν επιθέσεις RDP ωμής βίας με εξελιγμένες τεχνικές κλιμάκωσης προνομίων και εργαλεία παράκαμψης ασφαλείας για να παραβιάσουν οργανισμούς.

Η πλειονότητα των επιθέσεων, που αντιπροσωπεύει το 55 τοις εκατό όλων των περιστατικών, στοχεύει συγκεκριμένα εταιρείες στην Ινδία, αν και η Βραζιλία, η Γερμανία και άλλες περιοχές έχουν επίσης αναφέρει συμβιβασμούς.

Οι επιτιθέμενοι προτιμούν μεθόδους χαμηλής πολυπλοκότητας, υψηλού αντίκτυπου, αξιοποιώντας εργαλεία εκτός ραφιού και δημόσια αποκαλυπτόμενα τρωτά σημεία για να μεγιστοποιήσουν τις πιθανότητες επιτυχίας τους, ελαχιστοποιώντας παράλληλα τον κίνδυνο ανίχνευσης.

Η τυπική επίθεση Makop ακολουθεί μια δομημένη εξέλιξη που ξεκινά με την εκμετάλλευση πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας. Οι χειριστές αποκτούν αρχική πρόσβαση χρησιμοποιώντας εργαλεία brute-force όπως το NLBrute για να σπάσουν αδύναμα ή επαναχρησιμοποιημένα διαπιστευτήρια RDP σε εκτεθειμένα συστήματα.

Μόλις εισέλθουν στο δίκτυο, οι εισβολείς αναπτύσσουν μια εργαλειοθήκη που περιλαμβάνει σαρωτές δικτύου, εκμεταλλεύσεις κλιμάκωσης προνομίων, εργαλεία αφαίρεσης ιών και βοηθητικά προγράμματα απόρριψης διαπιστευτηρίων.

Αυτή η μεθοδική προσέγγιση τους επιτρέπει να μετακινούνται πλευρικά μέσω του δικτύου, να εξάγουν ευαίσθητες πληροφορίες και τελικά να αναπτύσσουν ωφέλιμα φορτία κρυπτογράφησης.

Εάν οι λύσεις ασφαλείας εντοπίσουν τις δραστηριότητές τους κατά τη διάρκεια αυτής της διαδικασίας, οι εισβολείς μπορεί να επιχειρήσουν προηγμένες τεχνικές αποφυγής ή να εγκαταλείψουν εντελώς τον στόχο, εάν δεν μπορούν να παρακάμψουν τις άμυνες.

Αναλυτές ασφαλείας Acronis αναγνωρισθείς ότι οι χειριστές Makop έχουν προσθέσει νέες δυνατότητες στο παραδοσιακό τους οπλοστάσιο επιθέσεων, συμπεριλαμβανομένου του κακόβουλου λογισμικού GuLoader για την παράδοση δευτερευόντων ωφέλιμων φορτίων.

Αυτή η εξέλιξη δείχνει πώς το τοπίο απειλών συνεχίζει να αλλάζει, με ομάδες ransomware να ενσωματώνουν πιο εξελιγμένους μηχανισμούς παράδοσης και τεχνικές πολυγλωσσίας.

Το κακόβουλο λογισμικό χρησιμοποιεί παραπλανητική ονομασία και εκτέλεση αρχείων από μη τυπικούς καταλόγους για να αποφύγει τον εντοπισμό. Τα εκτελέσιμα ονομάζονται συνήθως χρησιμοποιώντας μοτίβα όπως taskmgr.exe, bug_hand.exe και mc_osn.exe, τα οποία μπορεί να συγχέονται με νόμιμες διεργασίες των Windows.

Τα εργαλεία συχνά απορρίπτονται σε κοινόχρηστα στοιχεία RDP, καταλόγους μουσικής και επιτραπέζιους φακέλους που είναι τοποθετημένα σε δίκτυο για να εναρμονιστούν με την τακτική δραστηριότητα των χρηστών και να μειώσουν την ορατότητα στις λύσεις παρακολούθησης ασφάλειας.

Η ροή επίθεσης αποκαλύπτει ότι οι εισβολείς δίνουν προτεραιότητα στην ανακάλυψη και την πλευρική κίνηση πριν επιχειρήσουν να απενεργοποιήσουν το λογισμικό ασφαλείας.

Χρησιμοποιούν εργαλεία όπως το NetScan, το Advanced IP Scanner και το Masscan για την απαρίθμηση της υποδομής δικτύου και τον εντοπισμό στόχων υψηλής αξίας.

Για την κλιμάκωση των προνομίων, εκμεταλλεύονται ένα ευρύ φάσμα ευπαθειών των Windows, που κυμαίνονται από παλαιότερα CVE με σταθερές εκμεταλλεύσεις έως πρόσφατα διορθωμένα.

Οι χειριστές Makop αξιοποιούν επίσης τα νόμιμα ευάλωτα προγράμματα οδήγησης μέσω τεχνικών Bring Your Own Vulnerable Driver (BYOVD), όπως το hlpdrv.sys και το ThrottleStop.sys, για να αποκτήσουν πρόσβαση σε επίπεδο πυρήνα και να τερματίσουν λύσεις ανίχνευσης και απόκρισης τελικού σημείου.

Επιπλέον, αναπτύσσουν εξειδικευμένα προγράμματα απεγκατάστασης που στοχεύουν το Quick Heal Antivirus, ένα προϊόν ασφαλείας δημοφιλές στην Ινδία, δείχνοντας τοπική προσαρμογή των τακτικών τους.

Κλιμάκωση προνομίων και εκμετάλλευση οδηγού: Η ραχοκοκαλιά της επιτυχίας του Makop

Η αποτελεσματικότητα του Makop πηγάζει σε μεγάλο βαθμό από την ολοκληρωμένη συλλογή τοπικών εκμεταλλεύσεων κλιμάκωσης προνομίων που επιτρέπουν στους εισβολείς να μεταβούν από την πρόσβαση σε επίπεδο χρήστη σε προνόμια σε επίπεδο συστήματος.

Η ομάδα ransomware διατηρεί πολλαπλά LPE primitives στην εργαλειοθήκη της, διασφαλίζοντας ότι εάν ένα exploit αποτύχει ή διορθωθεί, οι εναλλακτικές επιλογές παραμένουν διαθέσιμες.

Τα πιο συχνά αξιοποιούμενα τρωτά σημεία περιλαμβάνουν τα CVE-2017-0213, CVE-2018-8639, CVE-2021-41379 και CVE-2016-0099, τα οποία παρέχουν όλα αξιόπιστα μονοπάτια για πρόσβαση σε επίπεδο συστήματος.

Πίνακας αξιοποίησης ευπάθειας του Makop Ransomware:-

Αυτά τα τρωτά σημεία στοχεύουν βασικά στοιχεία των Windows, συμπεριλαμβανομένων των υποσυστημάτων πυρήνα, των διεπαφών προγραμμάτων οδήγησης, των υπηρεσιών Windows Installer και των βοηθητικών προγραμμάτων συστήματος, καθιστώντας τα ιδιαίτερα αποτελεσματικά για ransomware.

Η παρουσία εκμεταλλεύσεων που εκτείνονται σε πολλά χρόνια καταδεικνύει ότι ακόμη και παλαιότερα τρωτά σημεία παραμένουν πολύτιμα όταν τα συστήματα παραμένουν χωρίς επιδιόρθωση ή όταν οι οργανισμοί αποτυγχάνουν να εφαρμόσουν έγκαιρα ενημερώσεις ασφαλείας.

Αυτό που διακρίνει την προσέγγιση της Makop είναι η ενσωμάτωση των τεχνικών BYOVD χρησιμοποιώντας νόμιμα υπογεγραμμένα προγράμματα οδήγησης.

Το ThrottleStop.sys, ένα γνήσιο πρόγραμμα οδήγησης που αναπτύχθηκε από την TechPowerUp για την παρακολούθηση του στραγγαλισμού της CPU, περιέχει μια ευπάθεια (CVE-2025-7771) την οποία οι εισβολείς εκμεταλλεύονται για να χειριστούν την πρόσβαση στη μνήμη και να απενεργοποιήσουν τα εργαλεία ασφαλείας.

Ομοίως, το hlpdrv.sys έχει χρησιμοποιηθεί σε προηγούμενες καμπάνιες ransomware από ομάδες όπως το MedusaLocker και το Akira.

Με τη μόχλευση προγραμμάτων οδήγησης που υπογράφονται από νόμιμους προμηθευτές, οι εισβολείς παρακάμπτουν την επαλήθευση υπογραφής προγραμμάτων οδήγησης, επιτρέποντάς τους να εκτελούν κώδικα σε επίπεδο πυρήνα χωρίς να ενεργοποιούν ειδοποιήσεις ασφαλείας.

Αυτή η τεχνική αντικατοπτρίζει μια εξελιγμένη κατανόηση της αρχιτεκτονικής ασφαλείας των Windows. Δείχνει πώς οι υπερασπιστές αντιμετωπίζουν προκλήσεις όταν τα νόμιμα διοικητικά εργαλεία γίνονται όπλα από παράγοντες απειλών που επιδιώκουν να διατηρήσουν την επιμονή τους και να αποφύγουν τον εντοπισμό.