A Microsoft alertou sobre uma nova onda de ataques de ransomware CACTUS que aproveitam iscas de malvertising para implantar o DanaBot como vetor de acesso inicial.
As infecções DanaBot levaram a "atividade com as mãos no teclado pelo operador de ransomware Storm-0216 (Twisted Spider, UNC2198), culminando na implantação do ransomware CACTUS", disse a equipe de Inteligência de Ameaças da Microsoft em uma série de postagens no X (anteriormente Twitter).
DanaBot, rastreado pela gigante da tecnologia como Storm-1044, é uma ferramenta multifuncional ao estilo de Emotet, TrickBot, QakBot e IcedID que é capaz de atuar como um ladrão e um ponto de entrada para payloads do próximo estágio.
UNC2198, por sua vez, foi observado anteriormente infectando endpoints com IcedID para implantar famílias de ransomware como Maze e Egregor, conforme detalhado pela Mandiant de propriedade do Google em fevereiro de 2021.
Segundo a Microsoft, o ator da ameaça também tirou vantagem do acesso inicial fornecido pelas infecções QakBot.
A mudança para DanaBot, portanto, é provavelmente o resultado de uma operação coordenada de aplicação da lei em agosto de 2023 que derrubou a infraestrutura do QakBot.
"A atual campanha do Danabot, observada pela primeira vez em novembro, parece estar usando uma versão privada do malware de roubo de informações em vez da oferta de malware como serviço", observou ainda Redmond.
As credenciais colhidas pelo malware são transmitidas para um servidor controlado pelo ator, que é seguido por movimento lateral via tentativas de login RDP e, finalmente, passando o acesso para o Storm-0216.
A revelação ocorre dias após a Arctic Wolf revelar outro conjunto de ataques de ransomware CACTUS que estão explorando ativamente vulnerabilidades críticas em uma plataforma de análise de dados chamada Qlik Sense para ganhar acesso às redes corporativas.
Também segue a descoberta de uma nova cepa de ransomware macOS chamada Turtle, escrita na linguagem de programação Go e assinada com uma assinatura adhoc, impedindo-a de ser executada no lançamento devido a proteções do Gatekeeper.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...