Conclusão dos ataques cibernéticos - Junho de 2021

Por Eyal Aharoni – Cymulate

 

Em junho de 2021 tivemos uma série de ataques de ransomware e pagamentos de resgate. Gold Northfield, o grupo de ransomware REvil, lançou vários ataques visando alvos de alto perfil. A JBS Foods, uma das maiores produtoras de carne do mundo, pagou o equivalente a US $ 11 milhões para restaurar suas operações na Austrália, EUA e Canadá após ser infectada pelo REvil. Além disso, a Fujifilm foi vítima de um ataque de ransomware pelos agentes da ameaça REvil usando o cavalo de Troia Qbot, assim como o gigante brasileiro da saúde Grupo Fleury. A demanda era de US $ 5 milhões para receber uma maneira de descriptografar seus dados e garantir que nenhum dado roubado vazasse.

A popularidade de REvil também tem um lado sombrio para Gold Northfield. Atores de ameaças começaram a piratear ransomware para economizar tempo e recursos. Uma versão ajustada do notório ransomware REvil, apelidado de ransomware LV, foi detectada em junho. Esta nova variante de ransomware rastreou e infectou máquinas Windows com binários maliciosos. Os agentes de ameaça por trás do malware LV provavelmente usaram um editor hexadecimal para remover características de identificação potencial dos binários. Considerando o valor da versão 2.02 embutida no código e o uso exclusivo do código REvil 2.03, parece que uma versão beta do REvil 2.03 foi pirateada para o ransomware LV. O malware vinculado a mecanismos de pagamento de resgate baseados em Tor e cada variante de ransomware LV era única, evitando efetivamente a descriptografia de arquivos em várias vítimas.

Em um resumo do mês anterior, mencionamos que dois fóruns proeminentes de crimes cibernéticos de língua russa proibiram a postagem de tópicos relacionados a ransomware. Isso forçou os atores da ameaça a promover seus serviços de outra maneira. Em junho, notamos que pelo menos duas gangues de ransomware (LockBit e Himalaya), em busca de hackers de recrutamento começaram a usar seus próprios sites para anunciar suas ferramentas de criptografia para atrair novos afiliados. O grupo de ransomware Himalaya ofereceu 70% de comissão para afiliados e anunciou que estava configurado com malware de criptografia de arquivo FUD (totalmente indetectável) compilado.

Também vimos novas variantes do notório malware MIRAI IoT chegar às ruas. O código-fonte original foi lançado para o público em geral em 2016. Não demorou muito para que os agentes de ameaças agarrassem essa oportunidade de criar suas próprias versões com a mesma estrutura e objetivo do original. O malware MIRAI IoT detecta dispositivos IoT usando nomes de usuário e senhas padrão ou fracos. Explorando vulnerabilidades conhecidas de acesso, o malware baixa e executa binários maliciosos, transformando o dispositivo infectado em parte de uma rede zumbi para executar ataques de Distributed Denial-of-Service (DDOS). As variantes mais recentes usam strings ou tokens exclusivos em seus binários para verificar se, por exemplo, os comandos SSH ou Telnet foram executados com êxito no dispositivo.

O recém-descoberto ransomware Bash tornou-se ativo em junho usando um script bash totalmente implementado em sua cadeia de ataque. Parecia que principalmente as distribuições Red Hat e CentOS Linux eram o alvo. Os scripts de worm e ransomware também usaram a API de um aplicativo de mensagens popular para comunicações C&C. O diretório api_attack continha várias versões do ransomware Bash, também conhecido como DarkRadiation, bem como o worm SSH responsável por espalhar o ransomware. Os scripts foram ofuscados com sucesso, ou seja, com a ferramenta node-bash-obfuscate de código aberto, que é uma ferramenta CLI Node.js e biblioteca para ofuscar scripts bash. O malware também verificou se a configuração permitiria ataques baseados em senha / chave SSH. As senhas SSH e as chaves SSH foram testadas em relação ao endereço IP de destino. Uma vez que a conexão foi feita, o malware Bash começou a baixar e executar o ransomware nos sistemas infectados usando uma função install_tools para instalar o necessário. A API do aplicativo de mensagens também foi usada para atualizar os agentes da ameaça sobre o status da infecção.

Nos últimos meses, várias empresas foram atacadas por um grupo de agentes de ameaças, apelidado de PuzzleMaker, que explorou uma cadeia de zero-day exploits do Google Chrome e do Microsoft Windows. Ele permitiu que atacantes remotos executassem código arbitrário na sandbox por meio de uma página HTML criada e o movessem para o sistema principal. Ao encadear as vulnerabilidades CVE-2021-31955 e CVE-2021-31956, os invasores foram capazes de executar seu código malicioso na máquina alvo da seguinte maneira:

  1. O stager verificou se o exploit foi bem-sucedido.
  2. Uma vez bem-sucedido, o preparador recuperou o conta-gotas do servidor C&C.
  3. O dropper foi executado contendo o recurso Remote Shell.
  4. O stager e o dropper começaram a personificar arquivos legítimos do Windows na máquina de destino.
  5. A carga útil foi usada para baixar e extrair arquivos / criar processos do sistema.
  6. O malware também pode temporariamente “hibernar” ou se autodestruir.

Terminamos este resumo com uma atualização sobre o grupo de hackers patrocinado pelo estado NOBELIUM (também conhecido como APT29, Cozy Bear e The Dukes). Esses agentes de ameaças, responsáveis ​​pelos ataques à cadeia de suprimentos da SolarWinds, realizaram ataques de password spray e brute-force em junho para obter acesso às redes corporativas por meio das ferramentas de suporte ao cliente da Microsoft.

Mantenha sua organização protegida contra os ataques de malware mais recentes.

Para descobrir se sua organização está protegida contra os ataques de malware mais recentes, execute a avaliação de ameaças imediatas do Cymulate. Isso permite que você teste e verifique por si mesmo se sua organização está exposta a esses ataques. Ele também oferece sugestões de atenuações caso sua organização seja realmente vulnerável. Além disso, os IOCs estão disponíveis na IU do Cymulate!

Fique cibernético!

Faça um teste gratuito da solução Cymulate e veja ela funcionando na prática. Fale com nossos especialistas.

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages