Ataques recentes do ransomware Trigona passaram a usar uma ferramenta customizada em linha de comando para roubar dados de ambientes comprometidos com mais rapidez e eficiência.
O utilitário foi usado em ofensivas registradas em março, atribuídas a um afiliado do grupo, provavelmente como forma de evitar ferramentas amplamente disponíveis, como Rclone e MegaSync, que costumam acionar soluções de segurança.
Pesquisadores da empresa de cibersegurança Symantec avaliam que a adoção de uma ferramenta própria pode indicar que o invasor está “investindo tempo e esforço em malware proprietário para manter um perfil mais discreto durante uma fase crítica dos ataques”.
Em relatório publicado hoje, os pesquisadores afirmam que a ferramenta se chama “uploader_client.exe” e se conecta a um endereço de servidor embutido no código.
Entre seus recursos de desempenho e evasão estão:
Suporte a cinco conexões simultâneas por arquivo para acelerar a exfiltração de dados por meio de envios paralelos.
Rotação de conexões TCP a cada 2 GB de tráfego para burlar o monitoramento.
Opção de exfiltração seletiva por tipo de arquivo, excluindo mídias grandes e de baixo valor.
Uso de uma chave de autenticação para restringir o acesso de terceiros aos dados roubados.
Em um dos incidentes, a ferramenta de exfiltração foi usada para roubar documentos de alto valor, como faturas e PDFs, armazenados em unidades de rede.
O ransomware Trigona foi lançado em outubro de 2022 como uma operação de dupla extorsão, exigindo que as vítimas pagassem resgates em Monero.
Embora ativistas cibernéticos ucranianos tenham interrompido a operação do Trigona em outubro de 2023, invadindo seus servidores e roubando dados internos, como código-fonte e registros de banco de dados, o relatório da Symantec indica que os responsáveis podem ter retomado as atividades.
Segundo as observações da Symantec sobre ataques recentes do Trigona, o agente de ameaça instala a ferramenta HRSword, da Huorong Network Security, como um serviço de driver de kernel.
Na sequência, são implantadas outras ferramentas capazes de desativar produtos de segurança, como PCHunter, Gmer, YDark, WKTools, DumpGuard e StpProcessMonitorByovd.
“Muitas dessas ferramentas exploraram drivers de kernel vulneráveis para encerrar processos de proteção de endpoint”, afirma a Symantec.
Alguns utilitários foram executados com o PowerRun, um produto que permite iniciar aplicativos, executáveis e scripts com privilégios elevados, contornando proteções em modo de usuário.
O AnyDesk foi usado para acesso remoto direto aos sistemas comprometidos, enquanto Mimikatz e utilitários Nirsoft foram executados para roubo de credenciais e recuperação de senhas.
Ao final do relatório, a Symantec listou indicadores de comprometimento, os chamados IoCs, relacionados à atividade mais recente do Trigona, para ajudar na detecção e no bloqueio dessas ofensivas em tempo hábil.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...