Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
LarAtaques de ransomware Play utilizam novas ferramentas personalizadas
Pesquisadores descobriram duas novas ferramentas personalizadas sendo aproveitadas em ataques de ransomware Play, pois diferentes agentes de ameaças adotam cada vez mais ferramentas proprietárias para obter uma vantagem competitiva e adaptar melhor seus ataques aos ambientes das vítimas.
A equipe de caçadores de ameaças da Symantec encontrou o grupo por trás do ransomware Play usando uma ferramenta de varredura de rede personalizada Grixba para enumerar todos os computadores e usuários no domínio e um executável .NET que permite aos invasores copiar arquivos do Volume Shadow Copy Service (VSS). que normalmente são bloqueados pelo sistema operacional.
“O uso de ferramentas proprietárias… dá aos operadores de ransomware mais controle sobre suas operações”, disseram os pesquisadores em uma análise na quarta-feira. “Se uma ferramenta estiver amplamente disponível, ela pode sofrer engenharia reversa ou ser adaptada por outros invasores, enfraquecendo potencialmente a eficácia do ataque inicial. Ao manter suas ferramentas proprietárias e exclusivas, as gangues de ransomware podem manter sua vantagem competitiva e maximizar seus lucros”.
O grupo Balloonfly que desenvolve o ransomware Play, lançado em junho de 2022, realizou vários ataques de dupla extorsão, incluindo um recente ataque cibernético na cidade de Oakland, Califórnia. bug (CVE-2022-41080) e falha de execução remota de código (CVE-2022-41082).
O grupo não parece operar o Play como um ransomware como serviço, e suas ferramentas personalizadas descobertas esta semana podem oferecer uma vantagem competitiva sobre outros grupos. A Balloonfly desenvolveu ambas as ferramentas usando uma popular ferramenta de desenvolvimento .NET chamada Costura, que permite aos usuários incorporar dependências de aplicativos em um único executável.
“Ao manter suas ferramentas proprietárias e exclusivas, as gangues de ransomware podem manter sua vantagem competitiva e maximizar seus lucros”.
O infostealer .NET Grixba verifica e enumera software, ferramentas de administração remota, vários programas de segurança e muito mais, e compila essas informações para exfiltração. A outra ferramenta aproveita a biblioteca AlphaVSS - uma estrutura .NET para interagir com VSS - para copiar arquivos de instantâneos VSS antes da criptografia.
Mais grupos estão abandonando ferramentas publicamente disponíveis ou scripts simples para usar ferramentas totalmente personalizadas, incluindo a ferramenta de exfiltração de dados Exmatter usada em vários ataques de ransomware BlackMatter em 2021, a ferramenta de exfiltração de dados personalizada Exbyte desenvolvida no ano passado pela BlackByte e uma ferramenta baseada em PowerShell ferramenta utilizada pela Vice Society.
Ferramentas de exfiltração personalizadas como essas melhoram a velocidade dos ataques, mas, como exemplificado pelas ferramentas personalizadas do ransomware Play, elas também podem aumentar a complexidade e os recursos dos ataques, disse Dick O'Brien, principal analista de inteligência do grupo de caçadores de ameaças da Symantec.
"É possível que os ataques estejam se tornando cada vez mais complexos de executar, necessitando, portanto, da automação de algumas etapas", disse O'Brien. “Coisas como copiar arquivos bloqueados são algo que não temos certeza se os invasores teriam se incomodado em fazer alguns anos atrás”.
Além das ferramentas de exfiltração, os agentes de ameaças desenvolveram outros tipos de conjuntos de ferramentas para expandir sua cadeia de ataque e adicionar camadas adicionais de complexidade a seus ataques. Desde 2022, por exemplo, um subgrupo do conhecido ator iraniano APT35 usa dois implantes personalizados para persistir em ambientes comprometidos, evitar a detecção e implantar malware de segundo estágio.
"De certa forma, pode ser um sinal positivo porque sugere que os atacantes estão sentindo que o calor e muitos ataques estão sendo descobertos antes que possam ser concluídos", disse O'Brien. “Também estamos vendo os invasores se esforçarem mais para tentar desativar o software de segurança, o que também sugere que eles estão sendo bloqueados com mais frequência”.
Os operadores de malware Qakbot mudaram de tática novamente para se adaptar às mudanças nas defesas.
Um novo RAT conhecido como SeroXen está à venda em fóruns e plataformas de mídia social e tem a capacidade de escapar do EDR e oferece um...