0
0
Uma cepa de ransomware sem marca que atingiu recentemente uma empresa com sede nos EUA está sendo implantada por invasores que estão usando indevidamente uma ferramenta incluída em um produto de segurança comercial, descobriram pesquisadores da Check Point.
A solução em questão é o Cortex XDR da Palo Alto Networks, cuja Dump Service Tool os invasores se apropriaram e agora estão usando indevidamente para fazer o sideload da DLL que descriptografa e injeta o (recém-rotulado) ransomware Rorschach.
Fluxo de execução de Rorschach (Fonte: Check Point)
As peculiaridades do ransomware Rorschach
Previamente analisado pelos pesquisadores da ASEC AhnLab, o ransomware Rorschach tem algumas características típicas e algumas únicas:
- É um pouco autônomo. Ele pode se espalhar automaticamente quando executado em um controlador de domínio (DC), onde cria uma diretiva de grupo que coloca cópias de si mesmo em todas as estações de trabalho, depois uma que mata processos específicos e, finalmente, uma que registra uma tarefa agendada que executará o executável principal
- Ele limpa os logs de eventos do Windows nas máquinas afetadas, desabilita o firewall do Windows e exclui volumes de sombra e backups (para dificultar a recuperação de dados)
- Ele tem uma configuração codificada, mas tem recursos adicionais que podem ser implantados por meio de diferentes argumentos de linha de comando (por exemplo, o operador pode optar por não alterar o papel de parede da máquina infectada ou entregar uma nota de resgate, ou torná-lo de modo que uma senha seja necessária para executar o exemplo)
- Ele usa um esquema de criptografia que combina os algoritmos curve25519 e eSTREAM cipher hc-128, criptografa apenas parte dos arquivos e usa um agendamento de thread muito eficaz. Isso tudo resulta em criptografia de arquivos na velocidade da luz.
Mas talvez a coisa mais interessante sobre isso seja como ele é entregue e implantado.
“Os cibercriminosos estão usando a Ferramenta de Serviço de Despejo do Cortex XDR como uma ferramenta autônoma que eles mesmos entregam”, disse Sergey Shykevich, Gerente do Grupo de Inteligência de Ameaças da Check Point, à Help Net Security.
No caso que observaram, os atacantes trouxeram para a máquina da vítima um ficheiro ZIP que inclui três ficheiros: cy.exe (Cortex XDR Dump Service Tool versão 7.3.0.16740), que é abusado para carregar lateralmente na memória winutils.dll (carregador e injector Rorschach embalado) e config.ini (ransomware Rorschach encriptado contendo toda a lógica e configuração).
“The main Rorschach payload config.ini is subsequently loaded into memory as well, decrypted and injected into notepad.exe, where the ransomware logic begins,” the researchers explained.
They did not say how the attackers delivered the malicious ZIP file onto the target organization’s system, nor whether the threat was found on more than one system.
“Rorschach does not exhibit any clear-cut overlaps with any of the known ransomware groups but does appear to draw inspiration from some of them,” the researchers noted.
What’s certain is that the ransomware won’t run on machines where the default language/script points to the user being located in or is from a CIS country.
Palo Alto Networks reacts
A Palo Alto Networks (PAN) confirmou que “quando removida de seu diretório de instalação, a Cortex XDR Dump Service Tool (cydump.exe), que está incluída no agente Cortex XDR no Windows, pode ser usada para carregar bibliotecas de vínculo dinâmico (DLLs) não confiáveis”.
A cópia da ferramenta usada pelo agente de ameaça é chamada cy.exe mas, de acordo com Shykevich, as informações do nome do arquivo original ainda são apresentadas no recurso de informações de versão do binário.
O PAN diz que os sistemas que executam as versões 7.7, 7.8 e 7.9 do agente Cortex XDR com-240 e atualizações de conteúdo posteriores detectam e bloqueiam esse ransomware, e que uma nova atualização de conteúdo será lançada na próxima semana para evitar o uso indevido de seu software e detectar e prevenir essa técnica de carregamento lateral de DLL.
“O ransomware Rorschach usa uma cópia da Cortex XDR Dump Service Tool e esta técnica de side-loading de DLL para evitar a detecção em sistemas que não têm proteção de endpoint suficiente. Isso representa o mesmo risco que outros malwares que utilizam técnicas de sideload de DLL”, acrescentaram.
FONTE: HELPNET SECURITY