0
0
Operador por trás de ataques com o ransomware supostamente usou ferramentas legítimas de proxy e encapsulamento após a infecção inicial
Pesquisadores de segurança cibernética da Kaspersky publicaram um novo relatório fornecendo detalhes técnicos adicionais e descobertas de atribuição sobre o incidente do ransomware Maui revelado pela Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA em julho.
O documento também estende a data de “visto pela primeira vez” da CISA para 15 de abril a maio de 2021 e a geolocalização de outros países-alvo, que incluem Japão, Índia, Vietnã e Rússia. “Como o malware neste incidente inicial foi compilado em 15 de abril de 2021 e as datas de compilação são as mesmas para todas as amostras conhecidas, este incidente é possivelmente o primeiro envolvendo o ransomware Maui”, escreve a Kaspersky.
Além disso, os especialistas em segurança disseram que, embora a CISA não fornecesse “informações úteis” que vinculassem o ransomware a um operador norte-coreano, a Kaspersky conseguiu fazer essa conexão. “Determinamos que aproximadamente dez horas antes de implantar o Maui no sistema alvo, o grupo implantou uma variante do conhecido malware DTrack, precedido pelo 3proxy meses antes”, disse a empresa de cibersegurança.
Especificamente, o Kaspersky Threat Attribution Engine (KTAE) notou que o malware DTrack da vítima continha um alto grau de similaridade de código (84%) com o DTrack anteriormente conhecido. “Esse ponto de dados, juntamente com outros, deve ajudar a solidificar abertamente a atribuição ao APT [ameaça persistente avançada] Andariel, também conhecido como Silent Chollima e Stonefly, de baixa a média confiança.”
Do ponto de vista técnico, o operador por trás desses ataques supostamente usou ferramentas legítimas de proxy e encapsulamento após a infecção inicial ou as implantou para manter o acesso. Eles então usaram scripts Powershell e Bitsadmin para baixar malware adicional.
A Kaspersky também disse que o tempo de permanência nas redes de destino em alguns casos durou meses antes da atividade e que as táticas de implantação de ransomware observadas em escala global demonstraram motivações financeiras contínuas e escala de interesse.
“Nossa pesquisa sugere que o operador é bastante oportunista e pode comprometer qualquer empresa ao redor do mundo, independentemente de sua linha de negócios, desde que tenha boa situação financeira”, diz o comunicado. “É provável que o operador favoreça serviços web vulneráveis expostos à internet. Além disso, o Andariel implantou ransomware seletivamente para obter lucros financeiros”, completa.
O relatório da Kaspersky foi divulgado semanas depois que o governo dos EUA aumentou a recompensa por informações sobre hackers ligados ao governo norte-coreano para US$ 10 milhões.
FONTE: CISO ADVISOR