Um novo agente de ransomware chamado Spirals concluiu uma invasão corporativa, do acesso inicial ao roubo de dados e à criptografia, em menos de 24 horas.
O ataque ocorreu em junho e comprometeu uma empresa de serviços de TI no sul da Ásia depois que um servidor Internet Information Services (IIS) exposto na web pública foi invadido.
Pesquisadores da equipe Threat Hunter Team, da Symantec, afirmam que o invasor avançou rapidamente após obter o acesso inicial e enviar um web shell ASP.NET.
Em seguida, o operador do Spirals contornou o Controle de Conta de Usuário (UAC), habilitou a Área de Trabalho Remota e criou uma conta local para manter acesso persistente.
O invasor também fez o dump do hive do registro SAM e da memória do processo LSASS em uma tentativa de extrair credenciais.
Os investigadores da Symantec dizem que o threat actor tentou remover softwares de segurança dos hosts, usou WMI para se mover lateralmente para mais de uma dúzia de sistemas e estabeleceu canais redundantes de acesso remoto usando revsocks, Chisel e túneis da Cloudflare.
Um payload em PowerShell desativou o Microsoft Defender, removeu suas definições de ameaça e interrompeu serviços associados a 23 produtos de backup, banco de dados e virtualização, incluindo Veeam, VMware, Hyper-V, SQL Server, Oracle e PostgreSQL, em preparação para a fase de criptografia.
A implantação do payload do Spirals, identificado como bitsadmin.exe, ocorreu menos de 24 horas após a invasão inicial, segundo a Symantec.
“O operador começou a implantar o payload de ransomware em toda a rede da vítima usando PsExec executado como SYSTEM”, explicam os pesquisadores.
“O payload recebeu o nome bitsadmin.exe, provavelmente para se passar pela utilidade legítima do Windows associada ao Background Intelligent Transfer Service, criptografando arquivos nas máquinas afetadas.”
O Spirals é uma família de ransomware baseada em Rust que usa chaves AES-128 protegidas por uma chave pública ECDH P-256 controlada pelo atacante.
O ransomware usa criptografia intermitente para arquivos maiores que 5 MB, a fim de acelerar o processo.
Uma nota de resgate chamada RECOVERY_SECTION.log é criada na unidade C:\, com instruções para negociar o pagamento.
As vítimas são ameaçadas com a exposição pública dos dados roubados em até seis dias, caso o invasor não receba o pagamento.
Apesar da presença do portal de extorsão, a Symantec observou o Spirals em apenas um caso até agora, então ainda não está claro se a nova família foi criada para uma operação mais ampla de cibercrime ou se se tratava de um payload personalizado desenvolvido especificamente para esse ataque à empresa de serviços de TI.
O relatório da Symantec traz indicadores de rede e hashes de arquivos associados ao ataque documentado do Spirals, para ajudar organizações em todo o mundo a reforçar suas defesas contra esse grupo de ameaça.
Publicidade
Vibecoding cria 10x mais sistemas, 20x mais vulneráveis. E quem ganha com isso é a galera do hacking ético e pentest. Quer ser pago para invadir sistemas? Então você tem que aprender com a Solyd que são os melhores do Brasil. Saiba mais...