0
0
Um grupo que empunha o ransomware Quantum Locker está atingindo alvos de uma maneira blitzkrieg- like, indo de compromisso incial para implantação e execução em todo o domínio em menos de quatro horas, pesquisadores com o Relatório DFIR estão alertando.
O ataque do ransomware Quantum
A ameaça de ransomware continua inabalável e os atacantes estão se tornando cada vez mais adeptos a executar ataques rapidamente, dando aos defensores apenas uma pequena janela de oportunidade para detectá-los, responder e atenuá-los. Neste ataque em particular, o tempo de resgate do ator da ameaça foi de 3 horas e 44 minutos.
A primeira metade foi hands-off e o resto envolveu atividades mãos no teclado pelo grupo, para implantar ransomware no maior número possível de sistemas.
It all started with an email containing an attachment or link to an ISO image containing the IceID payload – a tactic that has lately been very successful at fooling security controls. The particular email used in this attack has not been found, but the name of the weaponized ISO file (docs_invoice_173.iso) gives a general idea of its subject.
After the unfortunate user opened the file, the IceID payload was executed and child processes were spawned to create persistence and start discovering information about the system via built-in Windows utilities. After a Cobalt Strike beacon was deployed, the threat actor “tuned in” to continue the attack and to:
- Discover the target organizations active directory structure (via Active Directory enumeration tool AdFind)
- Gather host-based network information (via nslookup)
- Extract admin credentials from LSASS memory
- Use the credentials to RDP into a server
- Execute a PowerShell Cobalt Strike Beacon on that server
- Make RDP connections to other servers in the environment
- Implante o ransomware copiando-o para cada host através da pasta C$ share
- Detone remotamente o binário de ransomware Quantum Locker via WMI ou PsExec do Controlador de Domínio
“Embora a nota de resgate indicasse que o ator de ameaça roubou dados, não observamos nenhuma exfiltração de dados; no entanto, é possível que os atores de ameaça usaram IcedID ou Cobalt Strike para transmitir dados confidenciais”, observaram os pesquisadores.
A nota de resgate deixada pelo malware direciona as vítimas para um portal onde podem entrar em contato e negociar com a gangue.
Em suma, as táticas, técnicas e procedimentos (TTPs) usados pelo ator de ameaças não são inovadores, mas a velocidade com que eles conseguiram passar do compromisso inicial para a implantação de ransomware é perturbadora e extremamente desfavorável para os defensores. E, infelizmente, este grupo não é o único a ocasionalmente exibir tal rapidez devastadora.
Alerta de ransomware BlackCat
Na semana passada, o FBI divulgou um relatório sobre a ameaça de ransomware BlackCat/ALPHV como serviço, detalhando indicadores de compromisso e TTPs usados pelos grupos que o usam.
Mais uma vez, as táticas e técnicas usadas por esses atacantes não são incomuns, mas há uma coisa que é: o ransomware está escrito na linguagem de programação Rust, que melhora o desempenho e a segurança (especialmente a concorrência segura).
“O uso de Ferrugem é significativo, pois é uma tentativa de ofuscação de ataque. Isso usa técnicas existentes, mas é ofuscado usando uma nova linguagem de programação que pode ir além dos controles de segurança existentes”, diz Dave Klein, diretor de Evangelismo Cibernético da Cymulate.
Como os pesquisadores da AT&T Alien Labs observaram, as ferramentas de análise estática geralmente não são adaptadas a todas as linguagens de programação. “Por essa mesma razão, o Go Language tornou-se mais popular entre os codificadores de malware durante o ano passado”, acrescentaram.
Klein também apontou que a outra coisa interessante que o FBI observou é que ex-membros e afiliados do grupo de ransomware Darkside estão associados a esta campanha.
“Semelhante aos mercados criminosos da Darknet quando um mercado é fechado, os fornecedores se mudam para um novo mercado. O que isso mostra? Quando seu grupo de ransomware anterior for encerrado, os membros pegarão seus conjuntos de habilidades e passarão para outras oportunidades”, concluiu.
FONTE: HELPNET SECURITY