Um integrante do grupo de ransomware Crazy vem explorando softwares legítimos de monitoramento de funcionários, além da ferramenta de suporte remoto SimpleHelp, para manter persistência em redes corporativas, evitar detecção e preparar a implantação do ransomware.
Pesquisadores da Huntress identificaram diversos casos em que os invasores combinaram o Net Monitor for Employees Professional com o SimpleHelp para acessar remotamente redes comprometidas, disfarçando suas ações como atividades administrativas comuns.
Em uma das invasões, os criminosos instalaram o Net Monitor for Employees Professional por meio da ferramenta padrão do Windows, msiexec.exe, permitindo a implantação direta do agente de monitoramento nos sistemas comprometidos, a partir do site oficial do desenvolvedor.
Após a instalação, o software conferia aos atacantes controle remoto total do desktop da vítima, com capacidade para transferir arquivos e executar comandos, garantindo acesso interativo completo às máquinas invadidas.
Os invasores também tentaram habilitar a conta de administrador local utilizando comandos específicos.
Para garantir persistência redundante, baixaram e instalaram o cliente SimpleHelp por meio de comandos PowerShell, usando nomes que imitavam executáveis legítimos do Visual Studio, como "vshost.exe".
Após a execução da carga maliciosa do SimpleHelp, os atacantes mantinham o acesso remoto, mesmo que a ferramenta de monitoramento fosse removida.
Em alguns casos, o arquivo do SimpleHelp foi disfarçado com nomes relacionados ao OneDrive, facilitando a camuflagem.
Os pesquisadores constataram que o software de monitoramento era utilizado para executar comandos remotamente, transferir arquivos e acompanhar as atividades do sistema em tempo real.
Além disso, os invasores tentaram desabilitar o Windows Defender, interrompendo e excluindo seus serviços associados.
Em um dos incidentes, os hackers configuraram regras no SimpleHelp para alertá-los sempre que os dispositivos acessassem carteiras de criptomoedas ou utilizassem ferramentas de gerenciamento remoto, indicando preparativos para o ataque com ransomware e possível roubo de criptomoedas.
De acordo com a Huntress, “os logs mostram que o agente disparava continuamente eventos relacionados a palavras-chave sobre criptomoedas, incluindo serviços de carteira (metamask, exodus, wallet, blockchain), exchanges (binance, bybit, kucoin, bitrue, poloniex, bc.game, noones), exploradores de blockchain (etherscan, bscscan) e a plataforma de pagamentos payoneer”.
“O agente também monitorava termos relacionados a ferramentas de acesso remoto, como RDP, anydesk, ultraview, teamviewer e VNC, provavelmente para detectar se alguém estava acessando a máquina.”
O uso de múltiplas ferramentas de acesso remoto ofereceu redundância aos atacantes, garantindo o controle mesmo que um dos programas fosse detectado ou removido.
Embora apenas um dos incidentes tenha resultado na implantação do ransomware Crazy, a Huntress acredita que o mesmo grupo está por trás de ambas as invasões.
“O mesmo nome de arquivo (vhost.exe) e infraestrutura de comando e controle com sobreposição foram utilizados em ambos os casos, o que indica fortemente um único operador ou grupo responsável pelas invasões”, detalha a Huntress.
A adoção de ferramentas legítimas de gerenciamento e monitoramento remoto tem se tornado frequente em ataques de ransomware, pois permite que os criminosos se misturem ao tráfego de rede comum, dificultando a detecção.
A Huntress recomenda que as organizações monitorem de perto qualquer instalação não autorizada de ferramentas de monitoramento e suporte remoto.
Além disso, como as invasões ocorreram após o comprometimento de credenciais de SSL VPN, é fundamental que as empresas implementem autenticação multifatorial (MFA) em todos os serviços de acesso remoto à rede.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...