Um ator de ameaças desconhecido foi associado a um ataque cibernético a uma empresa de geração de energia no sul da África com uma nova variante do malware SystemBC chamado DroxiDat como precursor de um suposto ataque de ransomware.
"O backdoor capaz de rede de proxy foi implantada ao lado de Cobalt Strike Beacons na infraestrutura crítica de uma nação do sul da África", disse Kurt Baumgartner, pesquisador principal de segurança da equipe de Pesquisa e Análise Global (GReAT) da Kaspersky.
A empresa russa de cibersegurança disse que o ataque, que ocorreu no final de março de 2023, estava em seus estágios iniciais e envolvia o uso do DroxiDat para construir o perfil do sistema e fazer tráfego de rede seleto usando o protocolo SOCKS5 para e do comando e infraestrutura de controle (C2).
O SystemBC é um malware de mercadoria baseado em C/C++ e uma ferramenta administrativa remota que foi vista pela primeira vez em 2019.
Sua principal função é configurar proxies SOCKS5 em computadores vítimas que podem ser usados pelos atores de ameaças para direcionar o tráfego malicioso associado a outros malwares.
Variantes mais recentes do malware também podem baixar e executar payloads adicionais.
O uso do SystemBC como um meio para ataques de ransomware tem sido documentado no passado.
Em dezembro de 2020, a Sophos revelou a dependência dos operadores de ransomware no SystemBC RAT como um Tor de backdoor para infecções Ryuk e Egregor.
"O SystemBC é uma ferramenta atraente nessas operações porque permite que vários alvos sejam trabalhados simultaneamente com tarefas automatizadas, permitindo a implementação indireta de ransomware usando as ferramentas internas do Windows se os invasores obtiverem as credenciais adequadas", disse a empresa na época.
Os links de DroxiDat para a implementação de ransomware vêm de um incidente relacionado à saúde envolvendo DroxiDat aproximadamente no mesmo período em que o ransomware Nokoyawa teria sido entregue ao lado de Cobalt Strike.
O malware usado no ataque é compacto e enxuto quando comparado ao SystemBC, despojado da maior parte da funcionalidade associada a este último para atuar como um simples analisador de sistema e exfiltrar as informações para um servidor remoto.
"Ele não oferece capacidades de download e execução, mas pode conectar-se com ouvintes remotos e passar dados para frente e para trás e modificar o registro do sistema", disse Baumgartner.
A identidade dos atores de ameaças por trás da onda de ataques é atualmente desconhecida, embora as evidências existentes apontem para o provável envolvimento de grupos russos de ransomware, especificamente o FIN12 (também conhecido como Pistachio Tempest), que é conhecido por implantar o SystemBC ao lado de Cobalt Strike Beacons para implantar ransomware.
O desenvolvimento ocorre quando o número de ataques de ransomware visando organizações industriais e infraestrutura dobrou desde o segundo trimestre de 2022, saltando de 125 no 2T 2022 para 253 no 2T 2023, de acordo com Dragos.
O número também representa um aumento de 18% em relação ao trimestre anterior, quando 214 incidentes foram identificados.
"O ransomware continuará a interromper as operações industriais, seja por meio da integração de processos de killer de tecnologia operacional (OT) em cepas de ransomware, redes achatadas permitindo que o ransomware se espalhe em ambientes de OT, ou desligamentos preventivos da produção por operadores para prevenir o ransomware de se espalhar para os sistemas de controle industrial," a empresa avaliou com grande confiança.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...