Resumo dos ataques cibernéticos - novembro de 2020

Por Eyal Aharoni

Atores de ameaças continuam intensificando seu jogo em novembro de 2020

PyXie (também conhecido como GOLDEN DUPONT)

O malware PyXie, um novo RAT (Remoto Access Tool) conduz campanhas de ransomware bem-sucedidas desde 2018 e conta com organizações e empresas de saúde, educação, governo e tecnologia entre seus alvos favoritos. Em seus ataques, o grupo usou o carregador Vatet que foi criado combinando e alterando o aplicativo original de várias ferramentas de código aberto, tornando-se uma ferramenta de ataque altamente eficaz. O carregador executa cargas úteis como Cobalt Strike (software de emulação de ameaças utilizadas pelos Red Teams e Pen Testers). O arsenal de malware do grupo também contém o PyXie Lite, projetado para detectar e exfiltrar arquivos que podem ser usados para extorquir resgate. Em seus ataques, o grupo também usa sua ferramenta de acesso remoto PyXie (RAT) e Defray777 (ransomware que possui executáveis independentes para Windows e Linux), que é o primeiro ransomware que possui executáveis independentes para Windows e Linux. Essa capacidade elimina a necessidade de ransomware multifuncional escrito em Java ou linguagens de script, como Python.

Um exemplo de uma campanha recente de ransomware PyXie:

  1. A campanha começou com a entrega de Trojans bancários, como IcedID ou Trickbot.
  2. Assim que o Trojan bancário estabeleceu uma posição segura na rede da vítima, o carregador Vatet, bem como o malware PyXie e Cobalt Strike, foram implantados.
  3. Em seguida, o ransomware Defray777 foi implantado na memória.
  4. Os arquivos da vítima foram criptografados em derivações locais e compartilhamentos de arquivos.
  5. Depois de sair do sistema comprometido, nenhum vestígio é deixado, exceto para os arquivos criptografados e notas de resgate.

Método de carregamento lateral de DLL

Método de carregamento lateral de DLL
O carregamento lateral de DLL foi usado para executar o código malicioso.

Não é de surpreender que os atores e grupos de ameaças continuem aprendendo uns com os outros, o que torna sua campanha de ameaças ainda mais persistente e devastadora. Por exemplo, vimos um método de carregamento lateral de DLL, que tem sido popular entre os grupos APT por vários anos, tornar-se popular na comunidade do crime cibernético em novembro. O carregamento lateral de DLL foi usado para executar o código malicioso. Side-loading é o uso de uma DLL maliciosa falsificando uma legítima, contando com executáveis ​​legítimos do Windows para carregar e executar o código malicioso. Em novembro de 2020, vimos uma nova variante dessa carga útil específica, não era aquela que havia sido vista antes. Os cenários de carregamento lateral de DLL executaram código malicioso e instalaram backdoors nas redes das vítimas, usando um caminho de banco de dados de programa e strings de texto simples. O grupo APT usou este método de carregamento do lado DLL, mensagens script-kiddie, implantação avançada e técnicas de direcionamento para ocultar sua identidade.

Malware Gootkit

Malware Gootkit
O malware Gootkit volta ao lado do ransomware REvil.

No front do malware, vimos o malware Gootkit voltando ao lado do ransomware REvil em uma nova campanha visando a Alemanha. Os atores da ameaça invadiram sites WordPress e utilizaram envenenamento de SEO para exibir postagens falsas de fóruns aos visitantes. Essas postagens fingiam ser perguntas e respostas com links para formulários falsos ou downloads maliciosos. Depois que o link foi clicado, um arquivo ZIP contendo um arquivo JS ofuscado foi baixado e o malware Gootkit ou o ransomware REvil foram instalados.

MedusaLocker

O ransomware MedusaLocker foi ativo em vários ataques, especialmente no setor de saúde.

Além disso, o ransomware MedusaLocker foi ativo em vários ataques, especialmente no setor de saúde. Além de evitar a criptografia de arquivos executáveis, MedusaLocker usa uma combinação de AES e RSA-2048. Em novembro, AKO, uma variante do MedusaLocker, acrescentou um elemento de chantagem, ameaçando liberar arquivos roubados publicamente. Como vimos antes, esses tipos de métodos de chantagem e extorsão se tornaram populares no mercado de ransomware, onde cada vez mais leilões são organizados na dark web.

Egregor Ransomware

Egregor Ransomware
O Egregor Ransomware contém várias técnicas de anti-análise.

Este ransomware da família de malware Sekhmet foi usado para visar empresas, roubar informações e criptografar todos os dados no sistema comprometido. Egregor contém várias técnicas de anti-análise, como ofuscação de código e cargas úteis compactadas, o que o torna tão eficaz. Sua carga útil só pode ser de criptografada se a chave correta for fornecida na linha de comando do processo, o que significa que o arquivo não pode ser analisado manualmente ou em uma sandbox. Os agentes de ameaças que usam o Egregor mudaram o foco de seus ataques de jogos online para o setor de varejo. Nos próximos meses, espera-se que mais setores sejam visados.

Dicas de mitigação

Dicas de mitigação
Dicas de atenuação quando sua rede for violada.

Gostaríamos de terminar este resumo com algumas dicas de atenuação quando sua rede for violada:

  • Alterar todas as senhas de usuário usadas na máquina
  • Procure por tráfego malicioso usando seu SIEM com base nos IOCs fornecidos.
  • Verifique se você tem backups offline para a restauração completa de todos os arquivos
  • Verifique se o AV, EPP, EDR, E-mail Gateway, Web Gateway estão todos atualizados
  • Quando aplicável, bloqueie o domínio afetado e quaisquer URLs e endereços IP associados
  • Quando aplicável, bloqueie os hashes relevantes

As organizações se protegem contra os ataques de malware mais recentes com a avaliação de ameaças imediatas do Cymulate. Isso permite que você teste e verifique por si mesmo se sua organização está exposta a esses ataques. Ele também oferece sugestões de atenuações caso sua organização seja realmente vulnerável.

IOCs (indicador de comprometimento – são utilizados para indicar os artefatos computacionais que apontam para uma intrusão. É utilizada em computação forense) também estão disponíveis na interface do usuário do Cymulate!

Teste a eficácia de seus controles de segurança contra possíveis ameaças cibernéticas com um teste de 14 dias da plataforma Cymulate.

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages