Pesquisadores de segurança cibernética detalharam as táticas de um grupo criminoso cibernético chamado "Read The Manual" (RTM) Locker, que funciona como um provedor privado de ransomware como serviço (RaaS) e realiza ataques oportunistas para gerar lucro ilícito.
"O grupo 'Read The Manual' Locker usa afiliados para sequestrar vítimas, todos os quais são obrigados a seguir as rígidas regras do grupo", disse a empresa de cibersegurança Trellix em um relatório compartilhado com o The Hacker News.
"A configuração empresarial do grupo, onde os afiliados são obrigados a permanecer ativos ou notificar o grupo da sua saída, mostra a maturidade organizacional do grupo, como também foi observado em outros grupos, como o Conti."
O RTM, primeiro documentado pela ESET em fevereiro de 2017, começou em 2015 como um malware bancário direcionado a empresas na Rússia por meio de downloads drive-by, spam e e-mails de phishing.
As cadeias de ataque montadas pelo grupo evoluíram desde então para implantar um payload de ransomware em hosts comprometidos.
Em março de 2021, o grupo de língua russa foi atribuído a uma campanha de extorsão e chantagem que implantou uma trinca de ameaças, incluindo ferramentas legítimas de acesso remoto, um trojan financeiro e uma cepa de ransomware chamada Quoter.
A Trellix disse ao The Hacker News que não há relação entre o Quoter e o ransomware executável RTM Locker usado nos últimos ataques.
Uma característica chave do ator da ameaça é sua capacidade de operar nas sombras, evitando deliberadamente alvos de alto perfil que possam chamar a atenção para suas atividades.
Com esse fim, países da CEI, bem como necrotérios, hospitais, corporações relacionadas a vacinas COVID-19, infraestrutura crítica, aplicação da lei e outras empresas proeminentes são proibidos para o grupo.
"O objetivo da gangue RTM é atrair o mínimo de atenção possível, onde as regras os ajudam a evitar atingir alvos de alto valor", disse o pesquisador de segurança Max Kersten.
"O gerenciamento de afiliados para alcançar esse objetivo requer algum nível de sofisticação, embora não seja um nível alto em si".
As construções de malware do RTM Locker são vinculadas a mandatos estritos que proíbem os afiliados de vazar as amostras, caso contrário, correm o risco de serem banidos.
Entre as outras regras estabelecidas está uma cláusula que exclui os afiliados se eles permanecerem inativos por 10 dias sem uma notificação antecipada.
"O esforço que a gangue colocou para evitar chamar a atenção foi o mais incomum", explicou Kersten.
"Os afiliados também precisam estar ativos, tornando mais difícil para os pesquisadores infiltrarem a gangue.
No geral, os esforços específicos da gangue nessa área são maiores do que o normalmente observado em comparação com outros grupos de ransomware".
Suspeita-se que o locker seja executado em redes que já estão sob o controle do adversário, indicando que os sistemas podem ter sido comprometidos por outros meios, como ataques de phishing, malspam ou exploração de servidores vulneráveis expostos à internet.
O ator da ameaça, como outros grupos RaaS, usa técnicas de extorsão para obrigar as vítimas a pagar.
O payload, por sua vez, é capaz de elevar privilégios, encerrar serviços antivírus e de backup e excluir cópias das sombras antes de iniciar seu procedimento de criptografia.
Também é projetado para esvaziar a Lixeira para evitar a recuperação, alterar o papel de parede, limpar os logs de eventos e executar um comando shell que exclui automaticamente o locker como último passo.
As descobertas sugerem que grupos de cibercrime continuarão a "adotar novas táticas e métodos para evitar as manchetes e ajudá-los a voar sob o radar de pesquisadores e aplicação da lei", observou Kersten.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...