Um backdoor personalizado recentemente identificado, utilizado em vários ataques de ransomware recentes, foi vinculado a pelo menos um afiliado da operação RansomHub de ransomware-as-a-service (RaaS).
Pesquisadores da Symantec, que nomearam esse malware de Betruger, descrevem-no como "um exemplo raro de um backdoor multifuncional" que provavelmente foi desenvolvido para uso em ataques de ransomware.
As capacidades do malware incluem uma ampla gama de funcionalidades que se sobrepõem às características comumente encontradas em ferramentas maliciosas depositadas antes da implementação de cargas úteis de ransomware, incluindo keylogging, network scanning, privilege escalation, credential dumping, captura de tela (screenshotting) e upload de arquivos para um servidor de command and control (C2).
"A funcionalidade do Betruger indica que ele pode ter sido desenvolvido para minimizar o número de novas ferramentas depositadas em uma rede alvo enquanto um ataque de ransomware está sendo preparado", disse a Equipe de Caça às Ameaças da Symantec.
"O uso de malware personalizado, além de payloads de criptografia, é relativamente incomum em ataques de ransomware. A maioria dos atacantes confia em ferramentas legítimas, living off the land e malware disponível publicamente, como Mimikatz e Cobalt Strike", disse a Equipe de Caça às Ameaças da Symantec.
Os atacantes por trás do backdoor Betruger estão distribuindo-o usando os nomes de arquivo 'mailer.exe' e 'turbomailer.exe' para camuflá-lo como um aplicativo legítimo relacionado a envio de e-mails.
Embora outras gangues de ransomware também tenham desenvolvido ferramentas maliciosas personalizadas, elas foram projetadas principalmente para ajudar na exfiltração de dados sensíveis dos sistemas comprometidos das vítimas.
Tais ferramentas incluem o ladrão Exmatter da BlackMatter e a ferramenta de roubo de dados Exbyte da BlackByte para upload de arquivos roubados para o serviço de armazenamento em nuvem Mega.co.nz.
A operação de ransomware-as-a-service (RaaS) RansomHub (anteriormente conhecida como Cyclops e Knight) surgiu há mais de um ano, em fevereiro de 2024, e tem sido relacionada à extorsão baseada em roubo de dados, em vez de criptografar dados nos sistemas violados das vítimas.
Desde que apareceu, a gangue de ransomware reivindicou várias vítimas de alto perfil, incluindo o gigante de serviços de petróleo Halliburton, a casa de leilões Christie's, o provedor de telecomunicações dos EUA Frontier Communications, a rede de drogarias Rite Aid, a divisão da UE da Kawasaki, a organização sem fins lucrativos de saúde sexual Planned Parenthood, e o Bologna Football Club.
O RansomHub também vazou dados roubados da Change Healthcare após o golpe de saída de US$ 22 milhões da operação de ransomware BlackCat/ALPHV, seguindo o maior breach de saúde dos últimos anos, que impactou mais de 190 milhões de indivíduos.
Mais recentemente, reivindicou a violação da BayMark Health Services, o maior provedor de tratamento de dependência dos EUA na América do Norte.
A BayMark Health Services oferece serviços de tratamento assistido por medicamento (MAT) para mais de 75.000 pacientes diariamente em mais de 400 locais de serviço em 35 estados dos EUA e três províncias canadenses.
O FBI diz que os afiliados da RansomHub violaram mais de 200 vítimas de vários setores críticos de infraestrutura dos EUA, incluindo governo, infraestrutura crítica e saúde, até agosto de 2024.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...