Moneybird Ransomware usado em ataques a entidades israelenses

Agrius, um grupo de hackers iranianos também conhecido como Pink Sandstorm e anteriormente Americium, desenvolveu um novo tipo de ransomware chamado Moneybird. Os pesquisadores da CheckPoint descobriram esse malware perigoso, o que significa uma mudança significativa nas táticas da Agrius, já que agora eles visam organizações israelenses.

Agrius tem um histórico de realizar ataques destrutivos de limpeza de dados em entidades israelenses, muitas vezes disfarçando-os como infecções por ransomware. O desenvolvimento do Moneybird, programado em C++, mostra as habilidades em expansão do grupo e o compromisso contínuo com a criação de novas ferramentas cibernéticas.

Desde pelo menos dezembro de 2020, a Agrius foi rastreada até interromper invasões destinadas a indústrias de diamantes na África do Sul, Israel e Hong Kong. No passado, o grupo utilizava um ransomware baseado em .NET chamado Apóstolo, que mais tarde evoluiu para o Fantasy. No entanto, Moneybird, codificado em C++, demonstra as capacidades cibernéticas em evolução do grupo.

Moneybird - Propagação e Atividade

A operação de ransomware Moneybird demonstra o crescente conhecimento técnico e dedicação da Agrius ao desenvolvimento de novas ferramentas cibernéticas. Ele emprega uma metodologia de ataque sofisticada que começa explorando vulnerabilidades em servidores da web expostos publicamente. Essa exploração inicial permite a implantação de um shell da Web ASPXSpy, que serve como o primeiro ponto de entrada na rede da organização visada.

Uma vez dentro, o shell da web atua como um canal de comunicação para fornecer um conjunto de ferramentas conhecidas projetadas para reconhecimento aprofundado, movimento lateral, coleta de credenciais e exfiltração de dados confidenciais no ambiente da vítima.

Posteriormente, o ransomware Moneybird é implantado no host comprometido e visa especificamente arquivos confidenciais na pasta "F:\User Shares". Após a execução, o ransomware deixa para trás uma nota de resgate, pressionando as vítimas a entrar em contato em 24 horas ou arriscar que seus dados roubados sejam divulgados publicamente.

Moneybird utiliza AES-256 com GCM para criptografia, empregando uma técnica sofisticada que gera chaves de criptografia exclusivas para cada arquivo. Os metadados criptografados são anexados ao final de cada arquivo, tornando a restauração e a descriptografia de dados altamente desafiadoras, se não impossíveis, na maioria dos casos.

O que são agentes avançados de ameaças persistentes ou APTs?

Atores de ameaças persistentes avançados (APTs) são agentes de ameaças sofisticados e altamente qualificados ou grupos de hackers que conduzem ataques cibernéticos direcionados e de longo prazo contra organizações específicas, geralmente com o apoio de estados-nação ou entidades com bons recursos. Os APTs são caracterizados por suas técnicas avançadas, persistência e intenção de se infiltrar e comprometer os sistemas-alvo por longos períodos, muitas vezes permanecendo sem serem detectados.

Aqui estão algumas das principais características e traços associados aos APTs:

• Técnicas Avançadas: Os atores do APT empregam técnicas avançadas de hacking, incluindo explorações de dia zero, malware personalizado, rootkits e táticas sofisticadas de engenharia social. Eles evoluem constantemente seus métodos para contornar as medidas de segurança e manter seu acesso.
• Persistência: os APTs estão comprometidos em atingir seus objetivos e manter uma presença de longo prazo em sistemas comprometidos. Eles podem estabelecer vários pontos de entrada, criar backdoors e utilizar canais de comunicação furtivos para manter a persistência.
• Ataques direcionados: os APTs se concentram em alvos específicos, como agências governamentais, fornecedores de defesa, infraestrutura crítica, instituições de pesquisa ou corporações multinacionais. Eles conduzem um reconhecimento completo para coletar informações e adaptar seus ataques para explorar vulnerabilidades específicas na infraestrutura do alvo.
• Apoio do estado-nação: APTs são frequentemente associados a estados-nação ou entidades patrocinadas por estados que buscam vantagens políticas, econômicas ou militares. Eles podem ter recursos substanciais, capacidades de inteligência e proteções legais, permitindo-lhes realizar campanhas extensas e prolongadas.
• Exfiltração de dados: um dos principais objetivos dos APTs é exfiltrar dados valiosos, incluindo propriedade intelectual, segredos comerciais, informações classificadas ou informações de identificação pessoal (PII). Os dados roubados podem ser explorados para espionagem, ganho econômico, vantagem competitiva ou futuras operações cibernéticas.
• Operações secretas: APTs priorizam manter um perfil baixo e evitar a detecção. Eles empregam técnicas de evasão sofisticadas, como medidas anti-forenses, criptografia e ofuscação para ocultar suas atividades e burlar os sistemas de segurança.

Exemplos de grupos APT bem conhecidos incluem APT29 (também conhecido como Cozy Bear ou The Dukes), APT28 (também conhecido como Fancy Bear ou Sofacy), Equation Group, Comment Crew e Lazarus Group.