O grupo hacker conhecido como Storm-0249 parece estar mudando sua estratégia.
Antes atuando como initial access broker — ou seja, vendendo acessos iniciais a redes comprometidas — ele vem adotando táticas mais avançadas, como domain spoofing, DLL side-loading e execução fileless via PowerShell, para facilitar ataques de ransomware.
Segundo relatório da ReliaQuest, essas técnicas permitem que o grupo contorne defesas, infiltre-se nas redes, mantenha persistência e opere de forma furtiva, causando grande preocupação às equipes de segurança.
O nome Storm-0249 foi atribuído pela Microsoft a um grupo que comercializava acessos em organizações para outras facções criminosas, inclusive atores de ransomware como o Storm-0501.
A empresa de tecnologia chamou atenção para essa ameaça pela primeira vez em setembro de 2024.
No início de 2024, a Microsoft também divulgou detalhes de uma campanha de phishing do Storm-0249 que usava temas relacionados a impostos para infectar usuários nos EUA antes do período da declaração fiscal.
A infecção envolvia o malware Latrodectus e o framework de pós-exploração BruteRatel C4 (BRc4).
O objetivo final dessas infecções é garantir acesso persistente a redes corporativas e lucrar com a venda dessas portas de entrada para grupos de ransomware, criando uma oferta constante de alvos e acelerando o ritmo dos ataques.
Os dados mais recentes da ReliaQuest mostram uma mudança tática.
O Storm-0249 tem utilizado a conhecida técnica de engenharia social chamada ClickFix, que leva a vítima a executar comandos maliciosos via o diálogo Windows Run, sob o pretexto de resolver um problema técnico.
Um desses comandos usa o programa legítimo “curl.exe” para baixar um script PowerShell de uma URL que imita um domínio da Microsoft (“sgcipl[.]com/us.microsoft.com/bdo/”), gerando uma falsa sensação de confiança.
O script é executado sem deixar arquivos no disco, de forma fileless, por meio do PowerShell.
Essa execução dispara a instalação de um pacote MSI malicioso com privilégios SYSTEM, que instala uma DLL trojanizada vinculada ao software de proteção endpoint SentinelOne — o arquivo “SentinelAgentCore.dll” — na pasta AppData do usuário, acompanhada do executável legítimo “SentinelAgentWorker.exe”.
A ideia é que, ao iniciar o processo “SentinelAgentWorker.exe”, a DLL maliciosa seja carregada via side-loading, permitindo operação furtiva.
Em seguida, a DLL estabelece comunicação criptografada com um servidor de comando e controle (C2).
Além disso, o Storm-0249 tem usado ferramentas administrativas nativas do Windows, como reg.exe e findstr.exe, para extrair identificadores únicos do sistema, por exemplo o MachineGuid.
Esses dados são fundamentais para preparar ataques de ransomware subsequentes.
Ao explorar ferramentas legítimas e executar comandos dentro do processo confiável “SentinelAgentWorker.exe”, o grupo evita levantar suspeitas — uma típica técnica living-off-the-land (LotL).
Essas descobertas indicam uma transição do envio massivo de phishing para ataques altamente direcionados que se aproveitam da confiança em processos assinados para maior discrição.
Conforme destaca a ReliaQuest, “não se trata apenas de reconhecimento genérico, mas da preparação para afiliados de ransomware”.
Grupos como LockBit e ALPHV utilizam o MachineGuid para vincular as chaves de criptografia a sistemas específicos das vítimas.
Com esse vínculo, mesmo que os defensores capturem o binário do ransomware ou tentem reverter a criptografia, não conseguem descriptografar os arquivos sem a chave sob controle dos atacantes.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...