Hackers do ransomware Fog estão utilizando um conjunto de ferramentas incomum, que inclui utilitários de pentesting de código aberto e um software legítimo de monitoramento de funcionários chamado Syteca.
A operação do ransomware Fog foi observada pela primeira vez no ano passado, em maio, aproveitando credenciais de VPN comprometidas para acessar as redes das vítimas.
Após o comprometimento, eles usaram ataques de “pass-the-hash” para obter privilégios de administrador, desativaram o Windows Defender e criptografaram todos os arquivos, incluindo o armazenamento de máquinas virtuais.
Mais tarde, o grupo de ameaças foi observado explorando falhas n-day afetando servidores de Veeam Backup & Replication (VBR), bem como endpoints de SonicWall SSL VPN.
Pesquisadores da Symantec e da equipe de Caçadores de Ameaças do Carbon Black descobriram o conjunto de ferramentas de ataque incomum durante uma resposta a incidentes no mês passado em uma instituição financeira na Ásia.
A Symantec não conseguiu determinar o vetor de infecção inicial, mas documentou o uso de várias ferramentas novas que não haviam sido anteriormente vistas em tais ataques.
A mais incomum e interessante dessas é a Syteca (anteriormente conhecida como Ekran), um software legítimo de monitoramento de funcionários que grava a atividade na tela e os toques no teclado.
Os atacantes poderiam usar a ferramenta para coletar informações como credenciais de contas digitadas pelos funcionários sem saber que estão sendo monitorados remotamente.
O Syteca foi entregue de forma sigilosa ao sistema por Stowaway, uma ferramenta proxy de código aberto para comunicação encoberta e transferências de arquivos, e executado por SMBExec, o equivalente ao PsExec no framework Impacket de código aberto usado para movimentação lateral.
O ataque também envolveu GC2, um backdoor de pós-exploração de código aberto que usa o Google Sheets ou Microsoft SharePoint para comando e controle (C2) e exfiltração de dados.
GC2 tem sido raramente visto em ataques de ransomware, usado anteriormente em ataques atribuídos ao grupo de ameaças chinês APT41.
Além dessas ferramentas, a Symantec também lista o seguinte como parte do arsenal mais recente do ransomware Fog:
- Adapt2x C2 – alternativa de código aberto ao Cobalt Strike que suporta ações de pós-exploração
- Process Watchdog – utilitário de monitoramento de sistema que pode reiniciar processos chave
- PsExec – ferramenta da Microsoft Sysinternals para execução remota em máquinas conectadas em rede
- Impacket SMB – Biblioteca Python com acesso programático de baixo nível ao SMB, provavelmente usada para implantar o payload do ransomware na máquina da vítima.
Para preparar dados para exfiltração e entregá-los à sua infraestrutura, o ransomware Fog também usou utilitários como 7-Zip, MegaSync e FreeFileSync.
“O conjunto de ferramentas implantado pelos atacantes é bastante atípico para um ataque de ransomware”, comenta a Symantec no relatório.
“O cliente Syteca e a ferramenta GC2 não são ferramentas que vimos sendo implantadas em ataques de ransomware antes, enquanto a ferramenta proxy Stowaway e o Adap2x C2 Agent Beacon também são ferramentas incomuns de se ver sendo usadas em um ataque de ransomware,” dizem os pesquisadores.
Conjuntos incomuns como o que a Symantec identificou no recente ataque do ransomware Fog podem ajudar os atores de ameaças a evadir detecção.
O relatório dos pesquisadores fornece indicadores de comprometimento que podem ajudar as organizações a se protegerem contra tais incidentes.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...