Pesquisa revela detalhes de ataque envolvendo novo grupo de ransomware

Pesquisadores revelaram também que, simultaneamente ao ataque de ransomware, a vulnerabilidade do Confluence foi explorada por um criptominerador

Compartilhar:

Nesta segunda-feira (04), a Sophos publicou uma nova pesquisa, “Atom Silo ransomware actors use Confluence exploit, DLL side-Load for stealthy attack”, descrevendo novas técnicas e ferramentas usadas pelo Atom Silo, um grupo de ransomware recém-surgido. O relatório recapitula um ataque sofisticado que ocorreu ao longo de dois dias e se aproveitou de uma vulnerabilidade revelada recentemente no software de colaboração Confluence, da Atlassian.

 

Os pesquisadores da Sophos também descobriram que, simultaneamente ao ataque de ransomware, a vulnerabilidade do Confluence foi explorada por um criptominerador.

 

O ransomware que o grupo Atom Silo usou é virtualmente idêntico ao LockFile, mas seu estágio de invasão envolveu diversas técnicas novas e manobras complexas para evitar a detecção e completar o ataque.

 

• Por exemplo, depois que obtiveram acesso inicial ao servidor Confluence por meio de um backdoor, os criminosos foram capazes de derrubar e instalar um segundo backdoor furtivo. Este usava um executável de um produto de software de terceiros legítimo que era vulnerável a ataques de “side-load” de DLL, para executar o código backdoor;

 

• A carga útil do ransomware incluía um driver de kernel malicioso projetado para interromper o software de proteção de endpoint;

 

• O backdoor conectou-se a um servidor de comando e controle remoto pela porta 80 do TCP/IP e permitiu a execução de comandos do shell do Windows por meio da Interface de Gerenciamento do Windows (WMI).

 

Os invasores, então, se moveram lateralmente pela rede e comprometeram servidores adicionais, instalando novos backdoors por meio da interface WMI, usando uma conta administrativa comprometida. Na maioria das vezes, os criminosos evitaram instalar esses backdoors como serviços. Os pesquisadores da Sophos acreditam que eles fizeram isso para evitar a detecção pelos controles de segurança.

 

Além disso, os criminosos usaram serviços de desktop remoto (RDP) para localizar, copiar (usando RClone) e exfiltrar dados para o Dropbox. O executável do ransomware foi lançado após a exfiltração, simultaneamente ao lançamento de outro arquivo projetado para interromper a proteção do endpoint.

 

“O incidente investigado pela Sophos mostra a rapidez com que o panorama do ransomware pode evoluir. Este adversário ultra-furtivo era desconhecido até algumas semanas atrás. Embora semelhante a outro grupo de ransomware recentemente descoberto, o LockFile, o Atom Silo surgiu com seu próprio pacote de novas e sofisticadas táticas, técnicas e procedimentos que eram cheios de reviravoltas e desafios de detecção — provavelmente de forma intencional”, comenta Sean Gallagher, Pesquisador Sênior de Ameaças da Sophos.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Explorações com IA são identificadas em pesquisa após violar vulnerabilidades

Pesquisadores analisaram a nova estrutura de exploração com IA, a qual permite que agentes maliciosos acessem vulnerabilidades críticas, forçando as...
Security Report | Overview

Grupo Pão de Açúcar revela estratégia para proteção digital contra ataques cibernéticos

A solução é resultado de parceria entre empresas, ela é reconhecida pela capacidade de detecção, prevenção e recuperação frente a...
Security Report | Overview

Estratégia de brushing é usada para fraudes em operações e-commerce, mostra análise

Relatório revela que diversas fraudes podem começar em uma entrega após a compra não realizada em e-commerce, o "brushing" é...
Security Report | Overview

União Europeia caminha para reconhecer equivalência entre LGPD e GDPR

Segundo relatório a iniciativa divulgada pela União Europeia reconhece que o nível de proteção de dados assegurado no Brasil pode...