Um novo ator de ameaças denominado Crypt Ghouls foi associado a uma série de ataques cibernéticos direcionados a empresas e agências governamentais russas com ransomware, com o duplo objetivo de interromper as operações comerciais e obter ganho financeiro.
"O grupo em análise possui um kit de ferramentas que inclui utilitários como Mimikatz, XenAllPasswordPro, PingCastle, Localtonet, resocks, AnyDesk, PsExec, entre outros", disse a Kaspersky.
"Como payload final, o grupo utilizou o bem conhecido ransomware LockBit 3.0 e Babuk."
As vítimas dos ataques maliciosos abrangem agências governamentais, bem como empresas dos setores de mineração, energia, finanças e varejo localizadas na Rússia.
O fornecedor russo de cibersegurança disse que foi capaz de identificar o vetor de intrusão inicial em apenas dois casos, com os atores de ameaças se aproveitando das credenciais de login de um contratado para se conectar aos sistemas internos via VPN.
Diz-se que as conexões VPN originaram-se de endereços IP associados à rede de um provedor de hospedagem russo e a uma rede de contratados, indicando uma tentativa de voar sob o radar ao se aproveitar de relacionamentos confiáveis.
Acredita-se que as redes de contratados sejam violadas por meio de serviços de VPN ou falhas de segurança não corrigidas.
A fase de acesso inicial é sucedida pelo uso de utilitários NSSM e Localtonet para manter o acesso remoto, com a exploração subsequente facilitada por ferramentas como segue:
- XenAllPasswordPro para colher dados de autenticação
- Backdoor CobInt
- Mimikatz para extrair credenciais das vítimas
- dumper.ps1 para despejar tickets Kerberos do cache LSA
- MiniDump para extrair credenciais de login da memória do lsass.exe
- cmd.exe para copiar credenciais armazenadas nos navegadores Google Chrome e Microsoft Edge
- PingCastle para reconhecimento de rede
- PAExec para executar comandos remotos
- AnyDesk e proxy SOCKS5 resocks para acesso remoto
Os ataques terminam com a criptografia dos dados do sistema usando versões publicamente disponíveis do LockBit 3.0 para Windows e Babuk para Linux/ESXi, enquanto também tomam medidas para criptografar os dados presentes na Lixeira para inibir a recuperação.
"Os atacantes deixam uma nota de resgate com um link contendo seu ID no serviço de mensagens Session para contato futuro", disse a Kaspersky.
Eles se conectariam ao servidor ESXi via SSH, fariam upload do Babuk e iniciariam o processo de criptografia dos arquivos dentro das máquinas virtuais. A escolha de ferramentas e infraestrutura dos Crypt Ghouls nesses ataques se sobrepõe a campanhas similares conduzidas por outros grupos direcionados à Rússia nos últimos meses, incluindo MorLock, BlackJack, Twelve, Shedding Zmiy (também conhecido como ExCobalt) "Os criminosos cibernéticos estão se aproveitando de credenciais comprometidas, muitas vezes pertencentes a subcontratados, e de ferramentas de código aberto populares", disse a empresa.
O kit de ferramentas compartilhado usado nos ataques à Rússia torna desafiador identificar os grupos hacktivistas específicos envolvidos. Isso sugere que os atuais atores não estão apenas compartilhando conhecimento, mas também seus kits de ferramentas.
Tudo isso só torna mais difícil identificar atores maliciosos específicos por trás da onda de ataques direcionados a organizações russas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...