Um novo grupo de extorsão de dados chamado Helix está usando táticas centradas em identidade, como phishing por voz, phishing com código de dispositivo e abuso da autenticação multifator (MFA), para roubar dados de ambientes SharePoint.
O contato inicial costuma ocorrer por vishing.
Em alguns casos, o threat actor liga para funcionários fingindo ser o gerente deles, usando o nome do gestor ou spoofing de identificador de chamadas para parecer legítimo.
O objetivo é enganar a vítima e levá-la a cair em esquemas de phishing com código de dispositivo, permitindo o acesso às contas.
Depois de entrar, os operadores do Helix rapidamente registram um novo aplicativo de autenticação multifator para manter a persistência e, em seguida, navegam pelo SharePoint, enumeram conteúdos e exfiltram arquivos.
Segundo pesquisadores da empresa de cibersegurança ReliaQuest, os dados roubados são normalmente usados para extorquir as organizações vítimas, com ameaça de publicação caso o resgate não seja pago, ou então vendidos a outros cibercriminosos.
O comportamento de exfiltração no SharePoint é a assinatura técnica mais forte do Helix.
“A enumeração e a coleta automatizadas foram idênticas em todos os incidentes e representam a assinatura mais confiável.
A enumeração foi executada a partir de 179.43.185[.]230 usando o user-agent python-requests/2.28.1”, afirmam os pesquisadores.
“O operador emitiu buscas no SharePoint com contentclass:STS_Site e curinga (*) para inventariar todo o conteúdo acessível e, em seguida, fez o download em massa a partir do mesmo IP e user-agent.”
A ReliaQuest acredita que o Helix surgiu dos grupos de extorsão de dados ShinyHunters e BlackFile com base nas técnicas e na infraestrutura usadas, embora os pesquisadores não tenham encontrado uma ligação definitiva.
No mês passado, Medtronic, Nissan, NAIC, Kodak, Infinite Campus e a Nottingham University confirmaram incidentes de violação de dados que já haviam sido atribuídos ao ShinyHunters.
O grupo BlackFile, hoje desativado, atacava organizações com ataques baseados em identidade e engenharia social antes de encerrar suas operações em abril.
A pesquisa da ReliaQuest mostrou que um ataque do Helix usou um endereço IP de exfiltração no mesmo sistema autônomo (AS 51852) que hospedava um endereço IP confirmado do BlackFile, o que sugere o compartilhamento de recursos.
Além disso, o surgimento do Helix logo após o fim do BlackFile pode indicar uma possível continuidade da operação extinta.
A ReliaQuest também cita Pink e Redact como possíveis sucessores.
Quanto à ligação com o ShinyHunters, o Helix adota um manual de engenharia social muito semelhante, incluindo vishing, impersonação de funcionários, foco no Microsoft 365 e roubo de dados do SharePoint.
Outro indício é o uso do registrador NICENIC, que também apareceu em campanhas anteriores do ShinyHunters.
Como medida defensiva de maior impacto contra ataques do Helix, os pesquisadores recomendam desativar a autenticação por código de dispositivo sempre que possível.
Outras recomendações incluem restringir o acesso ao SharePoint apenas a dispositivos gerenciados e bloquear trocas com domínios recém-registrados, que o Helix costuma usar em seus ataques.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...