Atacantes associados à gangue de ransomware Vice Society foram observados usando uma ferramenta personalizada baseada em PowerShell para passar despercebidos e automatizar o processo de exfiltração de dados de redes comprometidas.
"Os atacantes que usam métodos integrados de exfiltração de dados, como binários e scripts 'living off the land', negam a necessidade de trazer ferramentas externas que possam ser sinalizadas pelo software de segurança e/ou mecanismos de detecção de segurança baseados em humanos", disse o pesquisador da Palo Alto Networks Unit 42, Ryan Chapman.
"Esses métodos também podem se esconder dentro do ambiente operacional geral, proporcionando subversão ao atacante."
A Vice Society, rastreada pela Microsoft sob o nome DEV-0832, é um grupo de hackers focado em extorsão que surgiu em maio de 2021.
É conhecida por depender de binários de ransomware vendidos no submundo criminoso para atingir seus objetivos.
Em dezembro de 2022, a SentinelOne detalhou o uso do grupo de uma variante de ransomware, chamada PolyVice, que implementa um esquema de criptografia híbrida que combina criptografia assimétrica e simétrica para criptografar arquivos com segurança.
O script PowerShell descoberto pela Unit 42 (w1.ps1) funciona identificando unidades montadas no sistema e, em seguida, pesquisando recursivamente cada um dos diretórios raiz para facilitar a exfiltração de dados por HTTP.
A ferramenta também usa critérios de exclusão para filtrar arquivos do sistema, backups e pastas que apontam para navegadores da web, bem como soluções de segurança da Symantec, ESET e Sophos.
A empresa de segurança cibernética disse que o design geral da ferramenta demonstra um "nível profissional de codificação".
A descoberta do script de exfiltração de dados ilustra a ameaça contínua de dupla extorsão no cenário de ransomware.
Também serve como um lembrete para as organizações priorizarem proteções de segurança robustas e permanecerem vigilantes contra ameaças em constante evolução.
"O script de exfiltração de dados do PowerShell da Vice Society é uma ferramenta simples para exfiltração de dados", disse Chapman.
"O processamento em várias etapas e a fila são usados para garantir que o script não consuma muitos recursos do sistema."
"No entanto, o foco do script em arquivos com mais de 10 KB com extensões de arquivo e em diretórios que atendem à sua lista de inclusão significa que o script não exfiltrará dados que não se encaixem nessa descrição."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...