A equipe de pesquisa de segurança cibernética da FireEye detectou recentemente três vulnerabilidades consecutivas no software de segurança de e-mail da Sonicwall.
Em uma análise regular, os especialistas detectaram novamente que um grupo de ameaças, UNC2447, muito motivado financeiramente, está explorando continuamente a vulnerabilidade de dia zero da VPN SonicWall (CVE-2021-20016).
De acordo com relatório da FireEye, esta vulnerabilidade é anterior a um patch atualmente disponível e está implantando continuamente o sofisticado ransomware.
Os especialistas, após detectarem o ransomware, nomearam-no como FiveHands e declararam que é bastante semelhante ao malware designado como HelloKitty.
HelloKitty sub-reptícia
No entanto, o ataque no qual os agentes da ameaça implementaram o FiveHands foi inicialmente detectado em outubro de 2020. Como dissemos acima, o FiveHands é muito semelhante ao malware HelloKitty.
HelloKitty foi descoberto quando atacou o estúdio de desenvolvimento de videogames CD Projekt Red e criptografou o sistema do jogo.
Assim que a criptografia for concluída, os agentes da ameaça roubaram o código-fonte de Cyberpunk 2077, Gwent, Witcher 3e não só isso, mas também atacaram uma versão inédita de Witcher 3.
A taxa de ataque do HelloKitty diminuiu à medida que o uso do ataque FiveHands aumentou. Em vez de recursos e funcionalidades semelhantes, ambos também foram vinculados pela Mandiant.
Os especialistas souberam do link depois de um mês observando o chat Tor do ransomware FiveHands usando um favicon da HelloKitty.
Afiliados UNC2447 também implantaram “Ragnar Locker”
Os atores da ameaça ficam de olho em suas vítimas por meio do ransomware FiveHands; depois disso, os hackers pressionaram violentamente as vítimas com ameaças de atenção da mídia.
Os atores da ameaça também oferecem dados das vítimas para venda em fóruns de hackers e, de acordo com os pesquisadores de segurança cibernética, os associados do UNC2447 observaram muitas fontes para que possam implementar facilmente a atividade do ransomware Ragnar Locker.
No entanto, as semelhanças entre HelloKitty e FiveHands são bastante visíveis, mas o ransomware pode ser utilizado por diferentes grupos por meio de programas clandestinos de afiliados.
Ao contrário do HelloKitty, o FiveHands melhorou o trabalho de seus antecessores, utilizando um novo conta-gotas somente de memória. Mais tarde, os agentes da ameaça aplicaram criptografia a uma variedade maior de tipos de arquivos.
Além disso, o dia zero foi novamente explorado por algum outro grupo chamado UNC2682 para sistemas backdoor. Mas, ainda assim, este grupo usou os web shells BEHINDER para se mover com segurança pelas redes das vítimas e obter acesso rápido aos e-mails e a todos os outros arquivos.
Você pode nos seguir em Linkedin, Twitter, Facebook para segurança cibernética diária e atualizações de notícias sobre hackers.