Pesquisadores atribuem dois ataques direcionados a Ransomware ao grupo de hackers Lazarus

Lazarus VHD Ransomware

Hollywood quer que você acredite que hackers adolescentes com capuz podem derrubar gigantes corporativos inteiros no valor de bilhões de dólares com o desconforto do porão de seus pais. No mundo real, no entanto, as coisas realmente não funcionam dessa maneira. Os ciberataques sofisticados são realizados por criminosos experientes que têm muitos recursos à sua disposição.

As campanhas de ransomware direcionadas a organizações específicas são operações extremamente complicadas que geralmente envolvem várias equipes de hackers separadas, todas trabalhando em tarefas diferentes. Uma equipe, por exemplo, seria responsável por fornecer a infraestrutura de Comando e Controle (C&C), uma segunda comprometeria a rede da vítima, uma terceira garantiria a infecção do maior número possível de computadores e a quarta seria responsável por a carga útil real do ransomware. Pesquisadores da Kaspersky descreveram o sistema em mais detalhes em um post do blog na terça-feira, mas também mencionaram algumas exceções à regra.

O ransomware VHD chama a atenção dos especialistas

A carga útil dos dois ataques cibernéticos descritos pela Kaspersky foi o ransomware VHD - um malware relativamente novo para criptografia de arquivos que apareceu há alguns meses. O ransomware em si não é especialmente sofisticado. Ele rastreia os discos rígidos dos hosts infectados, criptografando arquivos com uma combinação de AES e RSA e excluindo pontos de restauração do sistema para dificultar a recuperação dos dados. Várias características dos ataques chamaram a atenção dos pesquisadores.

O primeiro foi lançado em março e os especialistas perceberam que envolvia um mecanismo muito interessante para se espalhar pela rede da vítima. Com a ajuda de uma ferramenta automatizada, os hackers usaram uma lista de credenciais SMB específicas para vítimas para abrir caminho para outros computadores e, após conectar-se com êxito a eles, copiaram uma carga útil de ransomware VHD e a executaram por meio de chamadas WMI.

Essas não são as técnicas que uma equipe comum de hackers usaria, e os especialistas sabiam que provavelmente estavam procurando algo mais sério. Eles se sentiram da mesma maneira alguns meses depois, quando foram chamados para responder a outro ataque com o ransomware VHD.

Dessa vez, o ponto de entrada inicial era um gateway VPN vulnerável, através do qual os hackers obtiveram privilégios administrativos e implantaram um backdoor. Tendo comprometido o servidor do Active Directory da vítima, os criminosos começaram a distribuir cópias do ransomware VHD para um número não especificado de computadores.

Quando eles olharam mais de perto a porta dos fundos, os pesquisadores perceberam exatamente com o que estavam lidando.

A conexão do Lazarus

O centavo caiu quando os pesquisadores determinaram que o backdoor usado durante o segundo ataque era uma instância do que eles chamam de estrutura de malware MATA.

Conversamos no passado sobre o quão difícil é a atribuição no mundo da segurança cibernética, mas, depois de pesquisá-la com cuidado, os especialistas da Kaspersky têm quase certeza de que a estrutura MATA foi criada e usada pelo infame grupo de hackers Lazarus.

O Lazarus é uma equipe de hackers sofisticados responsáveis por vários ataques cibernéticos maciços, incluindo o vazamento da Sony em 2014 e o lançamento do limpador OlympicDestroyer que paralisou a infraestrutura crítica de TI antes dos Jogos Olímpicos de Inverno em Pyeongchang em 2018. Acredita-se que o Lazarus esteja vinculado a o governo norte-coreano e seu nome tem sido associado a qualquer coisa, desde ataques motivados financeiramente até grandes campanhas de ciberespionagem. Segundo a Kaspersky, o ransomware VHD é sua última criação.

O ransomware pode não ser especialmente sofisticado, mas não foi visto em nenhum outro ataque, e os pesquisadores têm certeza de que os hackers não o estão alugando de outra gangue de crimes cibernéticos. Ao mesmo tempo, eles têm quase certeza de que Lazarus é a única equipe que tem acesso às ferramentas e técnicas usadas durante os ataques de março e maio.

Em vez de compartilhar os lucros com outros equipamentos de crimes cibernéticos, o Lazarus decidiu fazer isso sozinho com o ransomware VHD. Somente o tempo dirá se essa será uma boa estratégia, mas, considerando o ilustre portfólio de ataques cibernéticos disruptivos do grupo, não apostaríamos contra. Se você administra uma organização que pode ser direcionada pelo Lazarus, verifique se um ataque de ransomware usando o VHD ransomware está no seu modelo de ameaça.

July 29, 2020

Deixe uma Resposta