Uma falha na segurança operacional permitiu que pesquisadores recuperassem dados roubados pelo grupo de ransomware INC de pelo menos 12 organizações nos Estados Unidos.
Uma análise forense detalhada dos vestígios deixados durante a ação revelou ferramentas não utilizadas no ataque em investigação, mas que expuseram a infraestrutura dos invasores, onde estavam armazenados dados exfiltrados de várias vítimas.
A operação foi conduzida pela Cyber Centaurs, empresa especializada em forense digital e resposta a incidentes.
A investigação começou depois que um cliente nos EUA detectou atividade de criptografia de ransomware em um servidor SQL de produção.
O payload, uma variante do ransomware RainINC, foi executado a partir do diretório PerfLogs, normalmente criado pelo Windows, mas que tem sido cada vez mais utilizado por criminosos para staging.
Os pesquisadores também identificaram vestígios da ferramenta legítima de backup Restic.
Embora a exfiltração dos dados tenha ocorrido durante o movimento lateral e o invasor não tenha usado o Restic nesse ataque específico, essa descoberta mudou o foco da resposta a incidentes para a análise da infraestrutura do atacante.
Entre os artefatos deixados pelo INC estavam binários renomeados (como “winupdate.exe”), scripts PowerShell para execução do Restic, variáveis de configuração de repositórios codificadas e comandos de backup.
Esses vestígios indicam que o grupo usava o Restic de forma seletiva como parte do seu toolkit operacional.
Um dos scripts PowerShell detectados, chamado “new.ps1”, continha comandos codificados em Base64 para o Restic, incluindo variáveis de ambiente — chaves de acesso, caminhos de repositórios e senhas para repositórios criptografados na S3.
Os pesquisadores levantaram a hipótese de que, se o INC reutilizava essa infraestrutura baseada no Restic em diversas campanhas, os repositórios de armazenamento indicados nos scripts provavelmente não eram desativados após a conclusão dos ataques.
Assim, poderiam funcionar como ativos controlados pelos criminosos, mantendo silenciosamente dados criptografados das vítimas mesmo após negociação ou pagamento do resgate.
Para confirmar essa suposição, a equipe desenvolveu um processo controlado e não destrutivo de enumeração que confirmou a existência de dados criptografados roubados de 12 organizações independentes dos setores de saúde, manufatura, tecnologia e serviços, todas nos EUA.
Nenhuma dessas organizações era cliente da Cyber Centaurs, e os incidentes se tratavam de ataques distintos e não relacionados.
Os pesquisadores preservaram as cópias dos backups, além de contatar autoridades para validar a propriedade dos dados e orientar os procedimentos adequados.
No relatório, a Cyber Centaurs lista diversas ferramentas usadas pelo INC em seus ataques, incluindo softwares de limpeza, acesso remoto e scanners de rede.
Além disso, os especialistas criaram regras YARA e Sigma para auxiliar equipes de defesa a identificar o uso do Restic ou de seus binários renomeados no ambiente, especialmente quando executados a partir de locais suspeitos — um possível indicativo de ataque de ransomware em andamento.
O INC é uma operação de ransomware-as-a-service (RaaS) que surgiu em meados de 2023.
O grupo já reivindicou ataques a vítimas de grande visibilidade, como Yamaha Motor, Xerox Business Solutions, o NHS da Escócia, McLaren Health Care, a Ordem dos Advogados do Texas, Ahold Delhaize, Ministério da Economia do Panamá, Procuradoria-Geral da Pensilvânia e Crisis24.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...