Falha no TeamCity provoca aumento em ataques de ransomware, criptomineração e ataques RAT
20 de Março de 2024

Múltiplos agentes de ameaças estão explorando as recentes falhas de segurança divulgadas no software JetBrains TeamCity para implantar ransomware, mineradores de criptomoedas, beacons Cobalt Strike e um trojan de acesso remoto baseado em Golang chamado Spark RAT.

Os ataques envolvem a exploração do CVE-2024-27198 (pontuação CVSS: 9.8) que permite a um adversário contornar as medidas de autenticação e obter controle administrativo sobre os servidores afetados.

"Os invasores então são capazes de instalar malware que pode se conectar ao seu servidor de comando e controle (C&C) e executar comandos adicionais como implantar beacons Cobalt Strike e trojans de acesso remoto (RATs)", disse Trend Micro em um novo relatório.

"Então, o ransomware pode ser instalado como uma payload final para criptografar arquivos e exigir pagamentos de resgate das vítimas."

Após a divulgação pública da falha no início deste mês, ela tem sido armada por agentes de ameaças associados às famílias ransomware BianLian e Jasmin, bem como para soltar o minerador de criptomoedas XMRig e Spark RAT.

Organizações que dependem do TeamCity para seus processos de CI/CD são aconselhadas a atualizar seu software o mais rápido possível para proteger-se contra possíveis ameaças.

O desenvolvimento ocorre conforme o ransomware continua a ser formidável e lucrativo, com novas cepas como DoNex, Evil Ant, Lighter, RA World e WinDestroyer surgindo ao mesmo tempo em que notórias equipes de crime cibernético como LockBit ainda estão aceitando afiliados em seu programa, mesmo com ações policiais contra eles.

WinDestroyer, em particular, se destaca por sua capacidade de criptografar arquivos e tornar os sistemas alvo inutilizáveis sem meios de recuperar os dados, o que eleva a possibilidade de que os agentes de ameaça por trás dele tenham motivações geopolíticas.

"Uma das grandes questões ao lidar com o crime de ransomware é a natureza do programa de afiliados, com os atores muitas vezes trabalhando para várias operações RaaS de cada vez", disse Cisco Talos.

"Vai exigir esforços persistentes e estratégicos para danificar significativamente as operações da RaaS e enfraquecer o poder regenerativo dessas gangues."

Dados compartilhados pelo Centro de Reclamações de Crimes na Internet da Agência Federal de Investigação dos EUA (FBI) mostram que 2.825 infecções por ransomware foram relatadas em 2023, causando perdas ajustadas de mais de US$ 59,6 milhões.

Destes, 1.193 vieram de organizações pertencentes a um setor de infraestrutura crítica.

Os cinco principais variantes de ransomware impactando na infraestrutura crítica dos EUA incluem LockBit, BlackCat (também conhecido como ALPHV ou Noberus), Akira, Royal e Black Basta.

Além de oferecer uma fatia maior dos rendimentos para cortejar afiliados, o cenário está testemunhando uma maior colaboração entre diferentes grupos de ransomware que compartilham suas ferramentas maliciosas entre si.

Essas parcerias também se manifestam na forma de grupos fantasmas, nos quais uma operação de ransomware terceiriza suas habilidades para outra, como visto no caso de Zeon, LockBit e Akira.

A Symantec, de propriedade da Broadcom, em um relatório publicado na semana passada, revelou que "a atividade do ransomware permanece em uma tendência ascendente apesar do número de ataques reivindicados por agentes do ransomware ter diminuído pouco mais de 20% no quarto trimestre de 2023".

De acordo com estatísticas publicadas pelo NCC Group, o número total de casos de ransomware em fevereiro de 2024 aumentou 46% em relação a janeiro, subindo de 285 para 416, liderados por LockBit (33%), Hunters (10%), BlackCat (9%), Qilin (9%), BianLian (8%), Play (7%) e 8Base (7%).

"A recente atividade policial tem o potencial de polarizar a paisagem do ransomware, criando aglomerados de operadores RaaS menores que são altamente ativos e mais difíceis de detectar devido à sua agilidade em fóruns e mercados subterrâneos", disse Matt Hull, chefe mundial de inteligência de ameaças do NCC Group.

"Parece que a atenção atraída pelos 'brand' ransomware maiores, como LockBit e Cl0p, está levando a novas e pequenas parcerias de afiliados RaaS genéricos a se tornarem normais.

Como resultado, a detecção e atribuição podem se tornar mais difíceis, e os afiliados podem facilmente trocar de fornecedores devido aos baixos limiares de entrada e envolvimento monetário mínimo."

Isso também foi complementado pelos agentes de ameaças encontrando novas maneiras de infectar vítimas, principalmente explorando vulnerabilidades em aplicações de front-end e evitando detecção, além de refinar suas táticas, cada vez mais apostando em software legítimo e técnicas de living-off-the-land (LotL).

Também são populares entre os invasores de ransomware utilidades como TrueSightKiller, GhostDriver e Terminator, que usam a técnica Bring Your Own Vulnerable Driver (BYOVD) para desabilitar software de segurança.

"Os ataques BYOVD são atraentes para os agentes de ameaças, pois podem fornecer uma maneira de desativar soluções AV e EDR no nível do kernel", disseram os pesquisadores da Sophos Andreas Klopsch e Matt Wixey em um relatório deste mês.

"A grande quantidade de drivers vulneráveis conhecidos significa que os invasores têm muitas opções para escolher."

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...