Conclusão dos ataques cibernéticos de abril de 2021 da Cymulate

Por Eyal Aharoni

Os atores de ameaças intensificaram seu jogo em abril de 2021, com grupos de ransomware encontrando novas maneiras de aumentar seus lucros, fazendo vítimas corporativas. Por exemplo, o grupo de ransomware DarkSide está abordando abertamente os corretores de ações para oferecer-lhes conhecimento interno de suas últimas vítimas corporativas, o que permitiria aos corretores vender a descoberto as ações da empresa violada antes que qualquer dado vazasse e a violação se tornasse pública. O grupo de ransomware Babuk também mudou seu modelo de negócios, passando da oferta de ransomware como serviço (RaaS) para extorsão de roubo de dados. O grupo ainda exigirá resgate pelos dados roubados de redes comprometidas antes de implantar a criptografia.

Atores de ameaças patrocinados pelo estado estavam ativos novamente. Em abril, um novo malware apelidado de PortDoor foi usado para se infiltrar nos sistemas do Rubin Central Design Bureau for Marine Engineering em São Petersburgo, uma empresa de engenharia que projeta submarinos para a Marinha Russa. Os atores da ameaça, suspeitos de trabalhar para o governo chinês, usaram uma campanha de spear phishing que seguia um padrão familiar.

  1. Os atores da ameaça enviaram um e-mail elaborado para o CEO da empresa.
  2. O email continha um anexo com uma descrição geral de um veículo subaquático autônomo.
  3.  O arquivo RTF atacado, criado com RoyalRoad v7, continha RoyalRoad, uma ferramenta para construir documentos maliciosos para explorar múltiplas vulnerabilidades no Editor de Equações da Microsoft. RoyalRoad foi vinculado a Tick, Tonto Team, TA428, Goblin Panda, Rancor e Naikon, todos eles atores de ameaças vinculados ao governo chinês.
  4.  Assim que o documento RFT foi aberto, ele largou o backdoor do PortDoor na pasta de inicialização do Microsoft Word, disfarçando-o como o arquivo de suplemento “winlog.wll.

Quando examinamos mais de perto o malware usado em ataques cibernéticos durante o mês de abril, vemos que ele também incluía malware multiuso, como o Phorpiex. Como uma das ameaças mais antigas e persistentes, o Phorpiex também foi usado para distribuir outras cargas de malware, como GandCrab ou Avaddon ransomware.

O Sysrv-hello também marcou presença em abril. Descoberto pela primeira vez em dezembro de 2020, o malware usava uma arquitetura de múltiplos componentes com módulos miner e worm. O malware de mineração de criptografia agora é capaz de construir um exército de botnets de mineração do Windows e Linux Monero, que é uma atualização da capacidade binária única original para minerar e espalhar automaticamente o malware para outros dispositivos. Em abril, vimos que o botnet de mineração de criptografia estava ativamente procurando por servidores corporativos Windows e Linux vulneráveis para infectá-los com um minerador Monero (XMRig) e cargas úteis de malware auto-propagador. O componente propagador varreu agressivamente a Internet em busca de sistemas mais vulneráveis para adicionar ao seu exército de botnets com explorações visando vulnerabilidades que permitiam a execução de código malicioso remotamente. As cargas de trabalho em nuvem foram direcionadas por meio de injeção remota de código e vulnerabilidades de execução remota de código em PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic e Apache Struts para acesso. Uma vez que os servidores foram comprometidos, qualquer minerador de criptomoeda já existente foi removido. O Sysrv-hello se infiltrou na rede usando ataques de força bruta com chaves privadas SSH coletadas de vários locais nos servidores infectados, o que permitiu o movimento lateral nas máquinas infectadas. Os hosts foram identificados a partir de arquivos de histórico do bash, arquivos de configuração ssh e arquivos known_hosts. O arquivo de configuração de mineração Sysrv-hello XMrig continha uma das carteiras Monero usadas pelo botnet para coletar Monero extraído no pool de mineração F2Pool. As últimas amostras encontradas na natureza também adicionaram suporte para o pool de mineração Nanopool após a remoção do suporte para MineXMR. Em geral, os botnets de mineração de criptografia estão usando mais de uma carteira vinculada a vários pools de mineração para coletar criptomoedas obtidas ilegalmente e aumentar os lucros.

Outro novo desenvolvimento que vimos em abril foi o aproveitamento do Process Doppelgänging pelo SynAck ransomware. Ambos não são novos; ambos existem desde 2017. Process Doppelgänging é semelhante a esvaziamento de processo, que consiste na criação de um processo com o único propósito de executar um executável malicioso dentro dele, enganando o sistema, e software de segurança implantado para classificar o processo como legítimo e seguro para correr. Process Doppelgänging aproveita um Transactional New Technology File System (TxF) para reverter quaisquer processos alterados para estados legítimos, sem deixar rastros do ataque para trás. Isso permite que o código malicioso seja mapeado no disco sem deixar rastros. Basicamente, funciona como uma injeção de código que tira proveito das transações NTFS usado no Windows para executar um código executável malicioso sob a impressão de um processo legítimo. Em abril, o SynAck estava usando o Process Doppelgänging para evitar a detecção e dificultar a análise devido à pesada ofuscação binária. Além disso, o Trojan executável não foi embalado em um empacotador.

Essas incidências poderiam ter sido evitadas com o uso de soluções de segurança de informação que monitoram constantemente a postura de segurança das organizações. Uma delas é o CYMULATE – solução de violações e ataques – Breach & Attack Simulation – BAS – que analisa em 360º a postura de segurança, oferecendo, através de relatórios gerenciais e técnicos, uma imagem clara das vulnerabilidades de cada ponto de exposição mostrando como mitigar essas falhas encontradas por ele e trazendo segurança contras as ameaças mais recentes.

Você sabia que pode fazer um teste de 14 dias sem custo do Cymulate?

Veja a solução funcionando na prática e conheça todas as falhas da sua segurança. Fale com os nossos especialistas e faça um teste na sua empresa.

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages