Pesquisa revela detalhes de ataque envolvendo novo grupo de ransomware

Pesquisadores revelaram também que, simultaneamente ao ataque de ransomware, a vulnerabilidade do Confluence foi explorada por um criptominerador

Compartilhar:

Nesta segunda-feira (04), a Sophos publicou uma nova pesquisa, “Atom Silo ransomware actors use Confluence exploit, DLL side-Load for stealthy attack”, descrevendo novas técnicas e ferramentas usadas pelo Atom Silo, um grupo de ransomware recém-surgido. O relatório recapitula um ataque sofisticado que ocorreu ao longo de dois dias e se aproveitou de uma vulnerabilidade revelada recentemente no software de colaboração Confluence, da Atlassian.

 

Os pesquisadores da Sophos também descobriram que, simultaneamente ao ataque de ransomware, a vulnerabilidade do Confluence foi explorada por um criptominerador.

 

O ransomware que o grupo Atom Silo usou é virtualmente idêntico ao LockFile, mas seu estágio de invasão envolveu diversas técnicas novas e manobras complexas para evitar a detecção e completar o ataque.

 

• Por exemplo, depois que obtiveram acesso inicial ao servidor Confluence por meio de um backdoor, os criminosos foram capazes de derrubar e instalar um segundo backdoor furtivo. Este usava um executável de um produto de software de terceiros legítimo que era vulnerável a ataques de “side-load” de DLL, para executar o código backdoor;

 

• A carga útil do ransomware incluía um driver de kernel malicioso projetado para interromper o software de proteção de endpoint;

 

• O backdoor conectou-se a um servidor de comando e controle remoto pela porta 80 do TCP/IP e permitiu a execução de comandos do shell do Windows por meio da Interface de Gerenciamento do Windows (WMI).

 

Os invasores, então, se moveram lateralmente pela rede e comprometeram servidores adicionais, instalando novos backdoors por meio da interface WMI, usando uma conta administrativa comprometida. Na maioria das vezes, os criminosos evitaram instalar esses backdoors como serviços. Os pesquisadores da Sophos acreditam que eles fizeram isso para evitar a detecção pelos controles de segurança.

 

Além disso, os criminosos usaram serviços de desktop remoto (RDP) para localizar, copiar (usando RClone) e exfiltrar dados para o Dropbox. O executável do ransomware foi lançado após a exfiltração, simultaneamente ao lançamento de outro arquivo projetado para interromper a proteção do endpoint.

 

“O incidente investigado pela Sophos mostra a rapidez com que o panorama do ransomware pode evoluir. Este adversário ultra-furtivo era desconhecido até algumas semanas atrás. Embora semelhante a outro grupo de ransomware recentemente descoberto, o LockFile, o Atom Silo surgiu com seu próprio pacote de novas e sofisticadas táticas, técnicas e procedimentos que eram cheios de reviravoltas e desafios de detecção — provavelmente de forma intencional”, comenta Sean Gallagher, Pesquisador Sênior de Ameaças da Sophos.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Ministério da Gestão e Inovação publica guias orientativos de SI para população

Iniciativa inclui uma revista em quadrinhos para a população e duas publicações para ajudar quem atua com tecnologia no serviço...
Security Report | Overview

Caso Defesa Civil reforça necessidade de proteção em sistemas críticos, alerta pesquisa

O caso está sendo investigado pelas autoridades, que apuram a possibilidade de acesso não autorizado à plataforma utilizada para o...
Security Report | Overview

Análise de ameaças emite alerta para campanhas de phishing por código

O golpe destaca-se por sua natureza de 'rastro zero'. Os criminosos utilizam uma estratégia focada em convencer o usuário a...
Security Report | Overview

IA acelera ataques virtuais e amplia exigência por Segurança preventiva, aponta threat intel

Check Point e OpenAI expandem parceria estratégica para embutir modelos cibernéticos avançados diretamente nas ferramentas de proteção corporativa, combatendo o...