Os grupos de ransomware geralmente reciclam ferramentas, técnicas e procedimentos. Até mesmo alguns deles também fornecem manuais para afiliados.
Muitos usam o Cobalt Strike para acesso remoto, empregam força bruta RDP e direcionam servidores controladores de domínio para controlar máquinas de rede.
Pesquisadores de segurança cibernética do Sophos X-Ops relataram recentemente sua investigação sobre ataques de ransomware de janeiro de 2023, sob a qual examinaram quatro ataques de ransomware.
Eles investigaram os seguintes ataques: –
- Um ataque do Hive
- Dois ataques do Royal
- Um ataque de Black Basta
Nestes ataques, o mais chocante que pesquisadores revelaram publicamente é que encontraram várias semelhanças no padrão de ataque desses grupos de ransomware.
Padrões de comportamento
A seguir mencionamos todos os padrões de comportamento observados pelos analistas de segurança da Sophos MDR: –
- Os invasores criaram contas de administrador em servidores de controladores de domínio sequestrados com nomes de usuário exclusivos e não aleatórios e senhas complexas.
- Métodos de persistência de ferramenta constante aplicados usando nomes idênticos.
- Utilizou scripts em lote de pré-implantação correspondentes para configurar ransomware.
- A carga útil final do ransomware é implantada por meio de um arquivo .7z com o nome da organização visada. Aqui, com a mesma senha, o arquivo .7z é protegido por senha e executado com um comando shell correspondente.
Ataques de ransomware que seguem o mesmo padrão
O que chamou a atenção do Sophos MDR foi a inclusão do ransomware Royal no cluster de ataque, grupo conhecido pela exclusividade, evitando invasores “afiliados” externos.
Um cluster não garante a atribuição, mas em alguns cenários, poderia fazer o mesmo com evidências fortes. Comportamentos compartilhados não confirmam os mesmos invasores, mas sugerem um manual semelhante, já que a análise da Kroll Inc. mostra que um quinto ataque se alinha a esse cluster.
A seguir, mencionamos os mesmos scripts e arquivos em lote usados: –
- arquivo1.bat
- arquivo2.bat
- ip.txt
- gp.bat
Os atores da ameaça usam as tarefas agendadas para a criação de métodos de persistência e nomeiam as tarefas com os seguintes tipos de nomes:-
- Atualização da Microsoft
- Windows Atualizar
- Windows Atualizar 1
- Windows Atualizar 2
- Windows Sensor qe
- Windows Sensor qe 1
Documento
Ferramentas e técnicas comuns
Ferramentas e técnicas comuns usadas: –
- Reconhecimento de rede usando Advanced Port Scanner
- Uso extensivo de comandos do PowerShell convertidos em strings base64
- Instalação de um backup secundário de acesso remoto com Cobalt Strike
- Uso de ferramentas comerciais como TeamViewer, WizTree ou Citrix Enterprise Browser
- Movimento lateral via Área de Trabalho Remota
- Despejando o NTDS e a seção do Registro para extração de credenciais
- Uso de ferramentas de dupla utilização como PsExec
- Cargas hospedadas em serviços públicos como Pastebin
- Uso de rclone para sair do sistema
- Para a evasão final da proteção, os agentes da ameaça reiniciam os sistemas no Modo de Segurança.
Os registros do ataque de ransomware Hive no início deste ano contra um alvo com um produto de segurança de endpoint diferente revelaram os primeiros sinais do comportamento do cluster de ameaças.
O exame desses ataques revela semelhanças e diferenças importantes; no entanto, os métodos de acesso inicial diferem, possivelmente devido ao acesso de compra da Royal de corretores de acesso inicial distintos.
