0
0
Pesquisadores descobriram que os grupos de ransomware MountLocker, Phobos e StrongPity compraram acesso de operador de IAB para atacar empresas
Pesquisadores de segurança descobriram uma grande e emaranhada rede de infraestrutura que está sendo usada para permitir uma variedade de ciberataques. Três grupos de ameaças, independentes um do outro — e em alguns casos rivais —, estão usando um broker de acesso inicial (IAB) para habilitar seus ataques cibernéticos, de acordo com pesquisadores da BlackBerry.
Os brokers de acesso inicial são hackers que comprometem as redes de várias organizações por meio de exploração, injeção de senhas roubadas, phishing ou outros meios e, em seguida, estabelecem backdoors persistentes para manter o acesso. Em seguida, eles vendem esse acesso em vários fóruns da dark web. Os “clientes” desses brokers usarão esse acesso para realizar ataques, tais como campanhas de espionagem, infecções de botnet ou ataques de ransomware. De acordo com a BlackBerry, o preço desse acesso varia de US$ 25 a milhares de dólares, dependendo do porte da empresa a qual o comprador terá acesso.
A equipe da BlackBerry Research & Intelligence descobriu que os grupos de ransomware conhecidos como MountLocker e Phobos, bem como o grupo de ameaça persistente avançada (APT) StrongPity fizeram parceria com um operador de IAB, apelidado pelos pesquisadores de Zebra2104.
“Esta descoberta apresentou uma grande oportunidade para entendermos a atribuição dos IABs”, observou a empresa em uma postagem na sexta-feira, 5. “Executar a correlação de inteligência pode nos ajudar a construir uma imagem mais clara de como esses grupos de ameaças díspares criam parcerias e compartilham recursos para aprimorar ainda mais seus objetivos nefastos.”
A primeira dica da existência do Zebra2104 veio quando os pesquisadores da BlackBerry observaram um único domínio da web (trashborting.com) servindo beacons Cobalt Strike. Beacons são capazes de executar scripts do PowerShell, registrar pressionamentos de tecla, fazer capturas de tela, baixar arquivos e gerar outras cargas de exploração.
O domínio trashborting.com foi registrado em julho de 2020 com um endereço de e-mail ProtonMail (ivan.odencov1985@protonmail.com), que também foi usado para registrar dois domínios “irmãos” adicionais na mesma data. Um deles, o supercombinating.com, foi listado em março pela Sophos como um indicador de comprometimento (IOC) para o grupo MountLocker de ransomware-as-a-service.
O MountLocker, que existe desde julho de 2020, normalmente aproveita beacons Cobalt Strike para se espalhar lateralmente e propagar ransomware dentro da rede da vítima. Os pesquisadores da Sophos observaram a URL supercombinating.com sendo usada como o servidor Cobalt Strike para uma das campanhas do grupo.
Os pesquisadores da BlackBerry então tiveram conhecimento dos links para o StrongPity, que existe desde 2012, usando ataques watering hole para entregar versões “trojanizadas” de vários utilitários mais comumente usados, como WinRAR, download do Internet Manager e CCleaner. Watering hole é uma estratégia de ataque na qual um invasor “advinha” ou observa quais sites uma organização costuma usar e infecta um ou mais deles com malware.
Além disso, eles também descobriram um link para o ransomware Phobos, na forma de um tuite do Relatório DFIR nomeando supercombinating.com como o servidor em uma campanha recente do grupo de hackers, descoberta que a BlackBerry confirmou. Os operadores do Phobos normalmente vão atrás de organizações de pequeno a médio porte de uma variedade de setores, com o pagamento médio de resgate obtido sendo de cerca de US$ 54 mil, observaram os pesquisadores.
Os pesquisadores conseguiram vincular o trashborting.com a uma infraestrutura de spam mal-intencionada previamente documentada pela Microsoft. Ela esteve envolvida em campanhas do Emotet e Dridex, bem como em uma campanha de phishing em setembro de 2020 que teve como alvo entidades australianas, tanto no setor governamental quanto privado.
O uso de uma infraestrutura comum para suportar tantas atividades distintas levantou questões para a equipe do BlackBerry, começando com as ofertas de ransomware rivais. MountLocker e Phobos eram possivelmente relacionados? Dois grupos de ransomware diferentes operavam na mesma infraestrutura?, questionaram os pesquisadores. “Esta nova informação apresentou um certo enigma. Se o MountLocker fosse o dono da infraestrutura, haveria uma pequena chance de outro operador de ransomware também trabalhar com ela”, diz a BlackBerry em seu relatório.
No caso da StrongPity, que é especializado em espionagem e provavelmente tem o apoio de um Estado-nação, os motivos não se alinham com gangues de ransomware motivadas pela obtenção de ganhos financeiros, o que aumenta ainda mais o estranhamento do processo. “Com três grupos de ameaças aparentemente não relacionados usando e compartilhando infraestrutura sobreposta, nos perguntamos: Qual é a explicação mais plausível para esses links peculiares?” pesquisadores disseram. “Concluímos que este não era o trabalho dos três grupos em conjunto, mas de um quarto ‘player’: um IAB que apelidamos de Zebra2104, que fornecia o acesso inicial aos ambientes das vítimas”, disseram os pesquisadores ao site ThreatPost.
A BlackBerry alerta que é provável que o Zebra2104 apoie mais grupos de cibercriminosos do que os envolvidos nessa investigação inicial, especialmente considerando que puxar fios adicionais da infraestrutura revelou uma grande e emaranhada rede usada para ciberataques.
FONTE: CISO ADVISOR