Pesquisadores associam ransomware de 3AM ao Conti, gangues de cibercrime Royal
22 de Janeiro de 2024

Pesquisadores de segurança, ao analisar a atividade da recente operação de ransomware 3AM, descobriram conexões próximas com grupos infames, como o sindicato Conti e o gangue de ransomware Royal.

O 3AM, também escrito como ThreeAM, também tem experimentado uma nova tática de extorsão: compartilhar notícias de um vazamento de dados com os seguidores de mídia social da vítima e usar bots para responder a contas de alto escalão no X (antes Twitter) com mensagens apontando para vazamentos de dados.

A atividade da gangue de ransomware 3AM foi documentada publicamente pela primeira vez em meados de setembro, quando a Equipe de Caça Amadora da Symantec, agora parte da Broadcom, revelou que perceberam que os autores de ameaças mudaram para o ransomware ThreeAM após falhar em implementar o malware LockBit.

De acordo com pesquisadores da empresa francesa de cibersegurança Intrinsec, o ThreeAM provavelmente está conectado ao grupo de ransomware Royal - agora rebatizado como Blacksuit, uma gangue de ex-membros da equipe 2 dentro do sindicato Conti.

A ligação entre o ransomware 3AM e o sindicato Conti se tornou mais forte à medida que a Intrinsec avançava em suas investigações sobre as táticas do grupo, infraestrutura usada nos ataques e canais de comunicação.

Em um relatório compartilhado com o BleepingComputer, a Intrinsec afirma que sua análise do autor da ameaça revelou "uma sobreposição significativa" nos canais de comunicação, infraestrutura e Táticas, Técnicas e Procedimentos (TTPs) entre o 3AM e o sindicato Conti.

Usando um endereço IP que a Symantec listou como um indicador de rede de compromisso (185.202.0[.]111) em seu relatório sobre o ataque do autor da ameaça, os pesquisadores da Intrinsec encontraram no VirusTotal um script do PowerShell para lançar o Cobalt Strike detectado desde 2020.

Em outra descoberta, a Intrinsec observou um proxy SOCKS4 na porta TCP 8000 que é normalmente usado para tunelar a comunicação.

Os pesquisadores observam que "a assinatura associada a este serviço Socks4 foi exibida em dois endereços IP mostrando tal característica do proxy desde meados de 2022."

Além disso, os analistas da Intrinsec identificaram um certificado TLS para um serviço RDP em uma máquina chamada "DESKTOP-TCRDU4C" que está associada a ataques de meados de 2022, alguns deles aproveitando o dropper de malware IcedID em campanhas do ransomware Royal.

Anteriormente, o IcedID foi usado para entregar ransomware do XingLocker, que se rebrandou como Quantum, e grupos Conti.

Os pesquisadores também descobriram que o conteúdo HTML do site de vazamento de dados do 3AM na rede Tor foi indexado pela plataforma Shodan para servidores conectados à internet, o que significa que estava disponível na web clara.

O Shodan mostrou um endereço IP associado a um "produto nginx que poderia ser usado para fazer o tráfego de rede proxy para um servidor genuíno", disse o pesquisador.

Seguindo o rastro, a Intrinsec notou que o mesmo banner Apache httpd no servidor estava presente em outros 27 servidores, todos hospedados por uma organização chamada "UAB Cherry Servers."

A Cherry Servers é uma empresa de hospedagem lituana que tem um risco relativamente baixo de fraude, mas serviços de inteligência de ameaças viram os clientes da empresa hospedando malware, como o Cobalt Strike.

Uma análise mais aprofundada revelou que seis dos 27 servidores compartilhavam a mesma porta, protocolo, produto Apache com a mesma versão, sistema autônomo (AS16125), organização e o texto "llc" indicando uma 'empresa de responsabilidade limitada'.

Além disso, os domínios nos endereços IP analisados tinham certificados TLS do Google Trust Services LLC e foram transferidos para a Cloudflare.

A Intrinsec encontrou o mesmo subconjunto de IP em um relatório da empresa de cibersegurança e serviços gerenciados Bridewell em abril passado, que observou que a operação de ransomware ALPHV/ BlackCat hospedou sua infraestrutura de back-end exclusivamente no ISP UAB Cherry Servers, usou endereços IP no mesmo subconjunto, e alguns deles foram associados ao malware IcedID que foi usado para ataques Conti.

A descoberta técnica da Intrinsec está alinhada com a inteligência de ameaças da RedSense, afirmando que a ALPHV é um grupo aliado que não faz parte do sindicato Conti, mas que poderia ajudar a gangue de várias maneiras a realizar ataques.

Procurando por mais informações públicas sobre o ThreeAM, a equipe de inteligência de ameaças cibernéticas da Intrinsec descobriu que a gangue provavelmente testou uma nova técnica de extorsão usando respostas automatizadas no X (anteriormente Twitter) para transmitir notícias de seus ataques bem-sucedidos.

O autor da ameaça criou uma conta X/Twitter no ano passado em 10 de agosto e usou para deixar "várias respostas" mencionando uma de suas vítimas e redirecionando para o site de vazamento de dados.

O ransomware 3AM respondeu com um link para o site de vazamento de dados do 3AM na rede Tor para tweets da vítima, bem como várias contas, algumas com centenas de milhares de seguidores, como o exemplo abaixo.

Esta tática foi provavelmente empregada para disseminar a notícia do ataque e subsequente vazamento de dados e para prejudicar a reputação comercial da vítima - uma empresa dos EUA que fornece serviços automatizados de embalagem.

Os pesquisadores da Intrinsec determinaram que o ThreeAM usou a mesma mensagem de maneira automatizada para responder a vários tweets de alguns dos seguidores da vítima.

"Concluímos com boa confiança que um bot X/ Twitter foi provavelmente usado para conduzir tal campanha de nome e vergonha", escreve a Intrinsec no relatório privado compartilhado com o BleepingComputer.

Apoiando esta teoria está o aumento do volume e da frequência das respostas do ThreeAM, às vezes até 86 por dia, bem acima da média de um usuário real, e cerca de quatro por minuto.

Vale ressaltar que esta tática parece ter sido empregada apenas com uma vítima do 3AM, provavelmente porque não produziu os resultados que o autor da ameaça esperava.

Uma olhada no site de vazamento de dados do 3AM na rede Tor mostra uma lista de 19 vítimas que não pagaram o resgate e cujos dados o autor da ameaça vazou.

Surpreendentemente, o site do 3AM se parece muito com o que a operação de ransomware LockBit usa.

A Intrinsec observa que "embora os conjuntos de intrusão do ThreeAM pareçam ser um subgrupo menos sofisticado do Royal" e a gangue exibe menos segurança operacional, não deve ser subestimada e ainda pode realizar um grande número de ataques.

O sindicato de cibercrime Conti foi a maior e mais agressiva operação de ransomware entre 2020 e quando encerrou suas operações em maio de 2022 após uma violação de dados conhecida como Conti Leaks.

Durante um de seus mais produtivos surtos de hacking, os afiliados da operação comprometeram mais de 40 organizações em pouco menos de um mês, os ataques mais rápidos levando apenas três dias do acesso inicial para criptografar sistemas.

O sindicato se dividiu em várias células e a marca do ransomware se dissolveu, mas muitos de seus membros e afiliados se juntaram a outras operações, contribuindo com indivíduos experientes para todas as fases de um ataque, desde análise de alvo e acesso inicial, até negociações, infraestrutura, desenvolvedores e operadores.

Uma continuação é o ransomware Royal, "o herdeiro direto do Conti," de acordo com a pesquisadora de inteligência de ameaças cibernéticas da RedSense, Yelisey Bohuslavskiy, uma operação fechada com membros que se conhecem pessoalmente.

Por causa de uma postagem em um fórum de hackers, alguns pesquisadores especulam que um dos líderes do grupo Royal é um autor de ameaças que se chama Baddie.

No entanto, não foram divulgadas publicamente outras evidências sobre isso e o ransomware atualmente é uma cena em constante mudança, e Baddie poderia apenas estar trabalhando com várias operações de ransomware como serviço (RaaS), diz Bohuslavskiy.

Em uma cena tão caótica quanto afiliados trabalhando com vários grupos de RaaS, é difícil rastrear os membros de uma gangue específica ou associá-los a uma operação.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...