Um ator de ameaças identificado como 'EncryptHub', também conhecido como Larva-208, tem mirado organizações ao redor do mundo com ataques de spear-phishing e engenharia social para ganhar acesso às redes corporativas.
De acordo com um relatório da Prodaft, publicado internamente na semana passada e tornado público ontem, desde junho de 2024, quando o EncryptHub iniciou operações, ele comprometeu pelo menos 618 organizações.
Após obter acesso, os atores de ameaças instalam software de Remote Monitoring and Management (RMM), seguido pela implantação de stealers de informação como Stealc e Rhadamanthys.
Em muitos casos observados, o EncryptHub também instala ransomware nos sistemas comprometidos.
A Prodaft informou que o grupo de ameaças tem afiliação com RansomHub e BlackSuit, tendo implantado ambos os encryptors de ransomware no passado e possivelmente atuando como um corretor de acesso inicial para eles ou como um afiliado direto.
No entanto, em muitos ataques observados pelos pesquisadores, os atores de ameaças implantaram um encryptor de dados customizado em PowerShell, portanto, eles mantêm sua própria variante também.
Os ataques de Larva-208 envolvem phishing via SMS, vishing e páginas de login falsas que imitam produtos de VPN corporativa como Cisco AnyConnect, Palo Alto GlobalProtect, Fortinet e Microsoft 365.
Os atacantes normalmente se passam por suporte de TI em suas mensagens aos alvos, alegando um problema com o acesso VPN ou uma preocupação de segurança com sua conta, direcionando-os a fazer login em um site de phishing.
As vítimas recebem links que as redirecionam para páginas de login de phishing onde suas credenciais e tokens de autenticação multifator (MFA) (cookies de sessão) são capturados em tempo real.
Uma vez que o processo de phishing termina, a vítima é redirecionada para o domínio real do serviço para evitar suspeitas.
O EncryptHub adquiriu mais de 70 domínios que imitam os produtos mencionados, como 'linkwebcisco.com' e 'weblinkteams.com', para aumentar a percepção de legitimidade das páginas de phishing.
Os sites de phishing estão hospedados em provedores de hospedagem à prova de balas como Yalishanda, que, segundo a ProDaft, geralmente não atende a pedidos justificados de desativação.
A Prodaft também descobriu que existe outro subgrupo identificado como Larva-148, que ajuda a comprar os domínios usados nas campanhas de phishing, gerenciar a hospedagem e configurar a infraestrutura.
É possível que o Larva-148 venda domínios e kits de phishing para o EncryptHub, embora sua relação exata ainda não tenha sido decifrada.
Uma vez que o EncryptHub viola um sistema alvo, ele implanta diversos scripts PowerShell e malware para ganhar persistência, acesso remoto, roubar dados e criptografar arquivos.
Primeiro, eles enganam as vítimas para instalar software RMM como AnyDesk, TeamViewer, ScreenConnect, Atera e Splashtop.
Isso permite que eles controlem o sistema comprometido remotamente, mantenham acesso de longo prazo e façam movimentos laterais.
Em seguida, eles usam diferentes scripts PowerShell para implantar infostealers, como Stealc, Rhadamanthys e Fickle Stealer, para roubar dados armazenados em navegadores web.
Esses dados incluem credenciais salvas, cookies de sessão e frases de passe de carteiras de criptomoedas.
Em amostras dos scripts, o ator de ameaças tenta roubar uma grande quantidade de dados dos sistemas violados, incluindo:
- Dados de várias carteiras de criptomoedas, incluindo MetaMask, Ethereum Wallet, Coinbase Wallet, Trust Wallet, Opera Wallet, Brave Wallet, TronLink, Trezor Wallet e muitas outras.
- Dados de configuração para vários clientes VPN, incluindo Cisco VPN Client, FortiClient, Palo Alto Networks GlobalProtect, OpenVPN e WireGuard.
- Dados de populares gerenciadores de senha, incluindo Authenticator, 1Password, NordPass, DashLane, Bitwarden, RoboForm, Keeper, MultiPassword, KeePassXC e LastPass.
- Arquivos que correspondem a extensões particulares ou cujos nomes contêm certas palavras-chave, incluindo imagens, arquivos de conexão RDP, documentos Word, planilhas Excel, arquivos CSV e certificados.
Algumas das palavras-chave em nomes de arquivos que são alvo incluem "pass", "account", "auth", "2fa", "wallet", "seedphrase", "recovery", "keepass", "secret", e muitas outras.
A ameaça final de Larva-208 é ransomware na forma de um encryptor baseado em PowerShell customizado que criptografa arquivos usando AES e acrescenta a extensão ".crypted", deletando arquivos originais.
Uma nota de resgate é gerada para as vítimas, exigindo um pagamento de resgate em USDT via Telegram.
A Prodaft afirma que o EncryptHub é um ator de ameaça sofisticado que adapta seus ataques para maior eficácia, alcançando violações de alto valor em organizações grandes.
"O ator de spear-phishing LARVA-208 examinado neste relatório exemplifica a crescente sofisticação dos ataques cibernéticos direcionados," alerta a Prodaft.
"Empregando táticas de engenharia social altamente personalizadas, métodos avançados de ofuscação e iscas meticulosamente elaboradas, esse ator de ameaças demonstrou uma capacidade significativa de evadir detecção e comprometer alvos de alto valor.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...