Pesquisadores atribuem dois ataques direcionados a Ransomware ao grupo de hackers Lazarus
Hollywood quer que você acredite que hackers adolescentes com capuz podem derrubar gigantes corporativos inteiros no valor de bilhões de dólares com o desconforto do porão de seus pais. No mundo real, no entanto, as coisas realmente não funcionam dessa maneira. Os ciberataques sofisticados são realizados por criminosos experientes que têm muitos recursos à sua disposição.
As campanhas de ransomware direcionadas a organizações específicas são operações extremamente complicadas que geralmente envolvem várias equipes de hackers separadas, todas trabalhando em tarefas diferentes. Uma equipe, por exemplo, seria responsável por fornecer a infraestrutura de Comando e Controle (C&C), uma segunda comprometeria a rede da vítima, uma terceira garantiria a infecção do maior número possível de computadores e a quarta seria responsável por a carga útil real do ransomware. Pesquisadores da Kaspersky descreveram o sistema em mais detalhes em um post do blog na terça-feira, mas também mencionaram algumas exceções à regra.
O ransomware VHD chama a atenção dos especialistas
A carga útil dos dois ataques cibernéticos descritos pela Kaspersky foi o ransomware VHD - um malware relativamente novo para criptografia de arquivos que apareceu há alguns meses. O ransomware em si não é especialmente sofisticado. Ele rastreia os discos rígidos dos hosts infectados, criptografando arquivos com uma combinação de AES e RSA e excluindo pontos de restauração do sistema para dificultar a recuperação dos dados. Várias características dos ataques chamaram a atenção dos pesquisadores.
O primeiro foi lançado em março e os especialistas perceberam que envolvia um mecanismo muito interessante para se espalhar pela rede da vítima. Com a ajuda de uma ferramenta automatizada, os hackers usaram uma lista de credenciais SMB específicas para vítimas para abrir caminho para outros computadores e, após conectar-se com êxito a eles, copiaram uma carga útil de ransomware VHD e a executaram por meio de chamadas WMI.
Essas não são as técnicas que uma equipe comum de hackers usaria, e os especialistas sabiam que provavelmente estavam procurando algo mais sério. Eles se sentiram da mesma maneira alguns meses depois, quando foram chamados para responder a outro ataque com o ransomware VHD.
Dessa vez, o ponto de entrada inicial era um gateway VPN vulnerável, através do qual os hackers obtiveram privilégios administrativos e implantaram um backdoor. Tendo comprometido o servidor do Active Directory da vítima, os criminosos começaram a distribuir cópias do ransomware VHD para um número não especificado de computadores.
Quando eles olharam mais de perto a porta dos fundos, os pesquisadores perceberam exatamente com o que estavam lidando.
A conexão do Lazarus
O centavo caiu quando os pesquisadores determinaram que o backdoor usado durante o segundo ataque era uma instância do que eles chamam de estrutura de malware MATA.
Conversamos no passado sobre o quão difícil é a atribuição no mundo da segurança cibernética, mas, depois de pesquisá-la com cuidado, os especialistas da Kaspersky têm quase certeza de que a estrutura MATA foi criada e usada pelo infame grupo de hackers Lazarus.
O Lazarus é uma equipe de hackers sofisticados responsáveis por vários ataques cibernéticos maciços, incluindo o vazamento da Sony em 2014 e o lançamento do limpador OlympicDestroyer que paralisou a infraestrutura crítica de TI antes dos Jogos Olímpicos de Inverno em Pyeongchang em 2018. Acredita-se que o Lazarus esteja vinculado a o governo norte-coreano e seu nome tem sido associado a qualquer coisa, desde ataques motivados financeiramente até grandes campanhas de ciberespionagem. Segundo a Kaspersky, o ransomware VHD é sua última criação.
O ransomware pode não ser especialmente sofisticado, mas não foi visto em nenhum outro ataque, e os pesquisadores têm certeza de que os hackers não o estão alugando de outra gangue de crimes cibernéticos. Ao mesmo tempo, eles têm quase certeza de que Lazarus é a única equipe que tem acesso às ferramentas e técnicas usadas durante os ataques de março e maio.
Em vez de compartilhar os lucros com outros equipamentos de crimes cibernéticos, o Lazarus decidiu fazer isso sozinho com o ransomware VHD. Somente o tempo dirá se essa será uma boa estratégia, mas, considerando o ilustre portfólio de ataques cibernéticos disruptivos do grupo, não apostaríamos contra. Se você administra uma organização que pode ser direcionada pelo Lazarus, verifique se um ataque de ransomware usando o VHD ransomware está no seu modelo de ameaça.