Pesquisa revela detalhes de ataque envolvendo novo grupo de ransomware

Pesquisadores revelaram também que, simultaneamente ao ataque de ransomware, a vulnerabilidade do Confluence foi explorada por um criptominerador

Compartilhar:

Nesta segunda-feira (04), a Sophos publicou uma nova pesquisa, “Atom Silo ransomware actors use Confluence exploit, DLL side-Load for stealthy attack”, descrevendo novas técnicas e ferramentas usadas pelo Atom Silo, um grupo de ransomware recém-surgido. O relatório recapitula um ataque sofisticado que ocorreu ao longo de dois dias e se aproveitou de uma vulnerabilidade revelada recentemente no software de colaboração Confluence, da Atlassian.

 

Os pesquisadores da Sophos também descobriram que, simultaneamente ao ataque de ransomware, a vulnerabilidade do Confluence foi explorada por um criptominerador.

 

O ransomware que o grupo Atom Silo usou é virtualmente idêntico ao LockFile, mas seu estágio de invasão envolveu diversas técnicas novas e manobras complexas para evitar a detecção e completar o ataque.

 

• Por exemplo, depois que obtiveram acesso inicial ao servidor Confluence por meio de um backdoor, os criminosos foram capazes de derrubar e instalar um segundo backdoor furtivo. Este usava um executável de um produto de software de terceiros legítimo que era vulnerável a ataques de “side-load” de DLL, para executar o código backdoor;

 

• A carga útil do ransomware incluía um driver de kernel malicioso projetado para interromper o software de proteção de endpoint;

 

• O backdoor conectou-se a um servidor de comando e controle remoto pela porta 80 do TCP/IP e permitiu a execução de comandos do shell do Windows por meio da Interface de Gerenciamento do Windows (WMI).

 

Os invasores, então, se moveram lateralmente pela rede e comprometeram servidores adicionais, instalando novos backdoors por meio da interface WMI, usando uma conta administrativa comprometida. Na maioria das vezes, os criminosos evitaram instalar esses backdoors como serviços. Os pesquisadores da Sophos acreditam que eles fizeram isso para evitar a detecção pelos controles de segurança.

 

Além disso, os criminosos usaram serviços de desktop remoto (RDP) para localizar, copiar (usando RClone) e exfiltrar dados para o Dropbox. O executável do ransomware foi lançado após a exfiltração, simultaneamente ao lançamento de outro arquivo projetado para interromper a proteção do endpoint.

 

“O incidente investigado pela Sophos mostra a rapidez com que o panorama do ransomware pode evoluir. Este adversário ultra-furtivo era desconhecido até algumas semanas atrás. Embora semelhante a outro grupo de ransomware recentemente descoberto, o LockFile, o Atom Silo surgiu com seu próprio pacote de novas e sofisticadas táticas, técnicas e procedimentos que eram cheios de reviravoltas e desafios de detecção — provavelmente de forma intencional”, comenta Sean Gallagher, Pesquisador Sênior de Ameaças da Sophos.

 

Conteúdos Relacionados

Security Report | Overview

Brechas em ambientes corporativos mais que dobram em 2025

Estudo global da Check Point revela que a automação cibernética encurtou a janela de defesa das empresas, embora menos de...
Security Report | Overview

Vulnerabilidades em gigantes da tecnologia ampliam alerta do mercado

Relatório aponta que falhas em sistemas da Microsoft, Oracle, Fortinet, Ivanti e ServiceNow foram exploradas ativamente por grupos de extorsão,...
Security Report | Overview

51% dos ataques de ransomware ao setor de saúde na América Latina ocorreram no Brasil

Relatório da Elytron aponta que o setor virou alvo prioritário de extorsão por roubo de dados sensíveis antes da criptografia,...
Security Report | Overview

Guardião Cibernético 2026 ocorrerá em sete capitais do Brasil

Com sede principal em Brasília, a operação de defesa cibernética nacional terá Recife como polo estratégico no Nordeste, impulsionado pelo...