กลุ่มแรนซัมแวร์ Crypto24 ได้ใช้เครื่องมือพิเศษที่พัฒนาขึ้นเองในการโจมตี เพื่อหลบเลี่ยงการตรวจจับจากอุปกรณ์ด้านความปลอดภัยในเครือข่าย และเข้ารหัสไฟล์ รวมถึงขโมยข้อมูลออกไป
ปฏิบัติการของกลุ่มนี้ถูกพบครั้งแรกในฟอรั่มของ BleepingComputer เมื่อเดือนกันยายน 2024 แม้ในช่วงแรกจะไม่ได้มีชื่อเสียงมากนัก
นักวิจัยจาก Trend Micro ที่ติดตามพฤติกรรมของกลุ่ม Crypto24 พบว่า ผู้โจมตีกลุ่มนี้ได้โจมตีองค์กรขนาดใหญ่หลายแห่งในสหรัฐอเมริกา, ยุโรป และเอเชีย โดยเน้นเป้าหมายที่มีมูลค่าสูง เช่น ภาคการเงิน, การผลิต, ด้านความบันเทิง และด้านเทคโนโลยี
นักวิจัยด้านความปลอดภัยระบุว่า กลุ่ม Crypto24 มีความรู้ และความชำนาญ ซึ่งแสดงให้เห็นว่ามีความเป็นไปได้มากที่กลุ่มนี้ก่อตั้งโดยอดีตสมาชิกหลักของกลุ่มแรนซัมแวร์ที่ยุติการปฏิบัติการไปแล้ว
พฤติกรรมหลังการโจมตีระบบ
หลังจากได้สิทธิ์เข้าถึงระบบในครั้งแรก ผู้โจมตีกลุ่ม Crypto24 จะเปิดใช้งานบัญชีผู้ดูแลระบบที่เป็นค่าเริ่มต้นบนระบบ Windows ภายในเครือข่ายองค์กร หรือสร้างบัญชีผู้ใช้ใหม่ เพื่อใช้สำหรับการเข้าถึงแบบเงียบ ๆ และแฝงตัวอยู่ในระบบได้อย่างต่อเนื่อง
จากนั้นจะเข้าสู่ขั้นตอนการ reconnaissance โดยใช้ batch file ที่พัฒนาขึ้นเอง พร้อมใช้คำสั่งในการดึงข้อมูลรายชื่อบัญชีผู้ใช้, รายละเอียดฮาร์ดแวร์ของระบบ และโครงสร้างของดิสก์ ซึ่งต่อมาผู้โจมตีจะสร้าง Windows services และ scheduled tasks ที่เป็นอันตรายเพื่อใช้ในการแฝงตัวอยู่ในระบบ
อันแรก WinMainSvc เป็น keylogger service สำหรับดักจับการพิมพ์ของผู้ใช้ และอันที่สอง MSRuntime เป็น ransomware loader
ต่อมากลุ่ม Crypto24 จะใช้เครื่องมือโอเพ่นซอร์ส RealBlindingEDR เวอร์ชันพิเศษ ซึ่งมีเป้าหมายโจมตี agent ของซอฟต์แวร์รักษาความปลอดภัยจากผู้ผลิตหลายราย โดยปิดการทำงานของ kernel driver เช่น
Trend Micro
Kaspersky
Sophos
SentinelOne
Malwarebytes
Cynet
McAfee
Bitdefender
Broadcom (Symantec)
Cisco
Fortinet
Acronis
RealBlindingEDR เวอร์ชันพิเศษของกลุ่ม Crypto24 จะดึงชื่อบริษัทจากข้อมูล metadata ของ driver มาเปรียบเทียบกับรายชื่อที่ฝังไว้ในโค้ด และถ้าพบว่าตรงกัน จะปิดการทำงานของ hooks/callbacks ในระดับ kernel เพื่อปิดการตรวจจับของเครื่องมือ
สำหรับผลิตภัณฑ์ของ Trend Micro รายงานระบุว่า ถ้าผู้โจมตีมีสิทธิ์ administrator จะรัน batch script ที่เรียกใช้โปรแกรม ‘XBCUninstaller.