Caçadores de ameaças iluminaram um "sofisticado e evolutivo kit de ferramentas malware" chamado Ragnar Loader, que é utilizado por diversos grupos de cibercrime e ransomware como Ragnar Locker (aka Monstrous Mantis), FIN7, FIN8 e Ruthless Mantis (ex-REvil).
"O Ragnar Loader desempenha um papel chave em manter o acesso a sistemas comprometidos, ajudando os atacantes a permanecerem nas redes para operações de longo prazo," disse a empresa de cibersegurança suíça PRODAFT em um comunicado compartilhado.
Embora esteja vinculado ao grupo Ragnar Locker, não está claro se eles o possuem ou apenas o alugam para terceiros.
O que sabemos é que seus desenvolvedores estão constantemente adicionando novas funcionalidades, tornando-o mais modular e difícil de detectar.
O Ragnar Loader, também referido como Sardonic, foi documentado pela primeira vez pela Bitdefender em agosto de 2021 em conexão com um ataque malsucedido realizado pelo FIN8 contra uma instituição financeira não nomeada localizada nos EUA.
Diz-se que tem sido utilizado desde 2020.
Então, em julho de 2023, a Symantec, pertencente à Broadcom, revelou o uso do FIN8 de uma versão atualizada do backdoor para entregar o agora inativo ransomware BlackCat.
A funcionalidade principal do Ragnar Loader é sua capacidade de estabelecer posições de longo prazo dentro de ambientes-alvo, enquanto emprega um arsenal de técnicas para evitar detecção e garantir resiliência operacional.
"O malware utiliza payloads baseados em PowerShell para execução, incorpora métodos fortes de criptografia e codificação (incluindo RC4 e Base64) para ocultar suas operações, e emprega estratégias sofisticadas de injeção de processos para estabelecer e manter controle furtivo sobre sistemas comprometidos," observou a PRODAFT.
Essas funcionalidades, coletivamente, aprimoram sua capacidade de evitar detecção e persistir dentro de ambientes-alvo.
O malware é oferecido a afiliados na forma de um pacote de arquivo de arquivo contendo múltiplos componentes para facilitar o shell reverso, escalonamento local de privilégio e acesso a desktop remoto.
Também é projetado para estabelecer comunicações com o ator da ameaça, permitindo-lhes controlar remotamente o sistema infectado através de um painel de comando e controle (C2).
Tipicamente executado nos sistemas das vítimas usando PowerShell, o Ragnar Loader integra uma miríade de técnicas anti-análise para resistir a detecção e obscurecer a lógica de controle de fluxo.
Adicionalmente, ele possui a capacidade de conduzir várias operações de backdoor executando plugins DLL e shellcode, além de ler e exfiltrar os conteúdos de arquivos arbitrários.
Para possibilitar o movimento lateral dentro de uma rede, ele utiliza um arquivo de pivoteamento baseado em PowerShell.
Outro componente crítico é um arquivo executável Linux ELF chamado "bc" que é projetado para facilitar conexões remotas, permitindo ao adversário lançar e executar instruções de linha de comando diretamente no sistema comprometido.
A PRODAFT informou à publicação que "bc" é similar aos módulos BackConnect presentes em outras famílias de malware conhecidas como QakBot e IcedID que permitem interação remota com o dispositivo da vítima.
"Esta é uma técnica comum entre cibercriminosos, especialmente para alvos empresariais, já que seus dispositivos são frequentemente isolados em rede," disse ela.
"Ele emprega técnicas avançadas de ofuscação, criptografia e anti-análise, incluindo payloads baseados em PowerShell, rotinas de descriptografia RC4 e Base64, injeção de processo dinâmica, manipulação de token e capacidades de movimento lateral," disse a PRODAFT.
Essas funcionalidades exemplificam a crescente complexidade e adaptabilidade dos modernos ecossistemas de ransomware.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...