Um afiliado do ransomware 3AM está realizando ataques altamente direcionados utilizando email bombing e chamadas telefônicas falsificadas de suporte de TI para engenharem socialmente funcionários a fornecerem credenciais para acesso remoto aos sistemas corporativos.
Essa tática foi previamente associada à gangue de ransomware Black Basta e observada posteriormente em ataques do FIN7, mas sua eficácia motivou uma adoção mais ampla.
A Sophos relata ter visto pelo menos 55 ataques que aproveitaram essa técnica entre novembro de 2024 e janeiro de 2025, ligados a dois distintos clusters de ameaças.
Esses ataques seguiram o playbook do BlackBasta, incluindo email bombing, vishing via Microsoft Teams e abuso do Quick Assist.
O vazamento de conversas internas do Black Basta ajudou outros atores de ameaças a se atualizarem, pois incluía um template a ser usado durante ataques de phishing no Microsoft Teams, se passando por mesas de ajuda de TI.
O ataque do ransomware 3AM, direcionado a um cliente da Sophos, ocorreu no primeiro trimestre de 2025 e utilizou uma abordagem similar, mas com a novidade de phishing telefônico em vez de Microsoft Teams.
Os atores de ameaça falsificaram o número de telefone do departamento de TI real do alvo para fazer a chamada parecer legítima.
A chamada aconteceu durante uma onda de email bombing de 24 emails não solicitados recebidos em três minutos.
O atacante convenceu o funcionário a abrir o Microsoft Quick Assist e conceder acesso remoto, supostamente como resposta a atividade maliciosa.
Em seguida, o atacante baixou e extraiu um arquivo malicioso de um domínio falsificado, contendo um script VBS, um emulador QEMU e uma imagem do Windows 7 pré-carregada com o backdoor QDoor.
QEMU foi usado para evadir detecção, roteando o tráfego de rede através de máquinas virtuais criadas na plataforma, o que permitiu acesso persistente, embora não detectado, à rede.
Por meio desses meios, os atacantes realizaram reconhecimento usando WMIC e PowerShell, criaram uma conta de administrador local para se conectar via RDP, instalaram a ferramenta comercial RMM XEOXRemote e comprometeram uma conta de administrador de domínio.
Embora a Sophos diga que seus produtos bloquearam tentativas de movimento lateral e de desativação de defesas, o atacante ainda exfiltrou 868 GB de dados para o armazenamento na nuvem Backblaze usando a ferramenta GoodSync.
As ferramentas da Sophos também bloquearam tentativas subsequentes de executar o criptografador do ransomware 3AM, então o dano foi contido ao roubo de dados e à criptografia do host comprometido.
O ataque durou 9 dias, com o roubo de dados concluído no terceiro dia, com os atores de ameaça posteriormente impedidos de se espalhar mais.
A Sophos sugeriu vários passos de defesa chave que podem ser tomados para bloquear esses ataques, incluindo a auditoria de contas administrativas por segurança insuficiente, utilizando ferramentas XDR para bloquear ferramentas legítimas não aprovadas como QEMU e GoodSync, e impondo a execução de scripts assinados apenas via políticas de execução do PowerShell.
Também é recomendado que indicadores de comprometimento disponíveis sejam usados para configurar blocklists que previnam intrusões de fontes maliciosas conhecidas.
Ultimamente, email bombing e phishing de voz só podem ser efetivamente bloqueados aumentando a conscientização dos funcionários.
A operação do ransomware 3AM foi lançada no final de 2023 e posteriormente ligada às gangues de ransomware Conti e Royal.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...