Pesquisa revela detalhes de ataque envolvendo novo grupo de ransomware

Pesquisadores revelaram também que, simultaneamente ao ataque de ransomware, a vulnerabilidade do Confluence foi explorada por um criptominerador

Compartilhar:

Nesta segunda-feira (04), a Sophos publicou uma nova pesquisa, “Atom Silo ransomware actors use Confluence exploit, DLL side-Load for stealthy attack”, descrevendo novas técnicas e ferramentas usadas pelo Atom Silo, um grupo de ransomware recém-surgido. O relatório recapitula um ataque sofisticado que ocorreu ao longo de dois dias e se aproveitou de uma vulnerabilidade revelada recentemente no software de colaboração Confluence, da Atlassian.

 

Os pesquisadores da Sophos também descobriram que, simultaneamente ao ataque de ransomware, a vulnerabilidade do Confluence foi explorada por um criptominerador.

 

O ransomware que o grupo Atom Silo usou é virtualmente idêntico ao LockFile, mas seu estágio de invasão envolveu diversas técnicas novas e manobras complexas para evitar a detecção e completar o ataque.

 

• Por exemplo, depois que obtiveram acesso inicial ao servidor Confluence por meio de um backdoor, os criminosos foram capazes de derrubar e instalar um segundo backdoor furtivo. Este usava um executável de um produto de software de terceiros legítimo que era vulnerável a ataques de “side-load” de DLL, para executar o código backdoor;

 

• A carga útil do ransomware incluía um driver de kernel malicioso projetado para interromper o software de proteção de endpoint;

 

• O backdoor conectou-se a um servidor de comando e controle remoto pela porta 80 do TCP/IP e permitiu a execução de comandos do shell do Windows por meio da Interface de Gerenciamento do Windows (WMI).

 

Os invasores, então, se moveram lateralmente pela rede e comprometeram servidores adicionais, instalando novos backdoors por meio da interface WMI, usando uma conta administrativa comprometida. Na maioria das vezes, os criminosos evitaram instalar esses backdoors como serviços. Os pesquisadores da Sophos acreditam que eles fizeram isso para evitar a detecção pelos controles de segurança.

 

Além disso, os criminosos usaram serviços de desktop remoto (RDP) para localizar, copiar (usando RClone) e exfiltrar dados para o Dropbox. O executável do ransomware foi lançado após a exfiltração, simultaneamente ao lançamento de outro arquivo projetado para interromper a proteção do endpoint.

 

“O incidente investigado pela Sophos mostra a rapidez com que o panorama do ransomware pode evoluir. Este adversário ultra-furtivo era desconhecido até algumas semanas atrás. Embora semelhante a outro grupo de ransomware recentemente descoberto, o LockFile, o Atom Silo surgiu com seu próprio pacote de novas e sofisticadas táticas, técnicas e procedimentos que eram cheios de reviravoltas e desafios de detecção — provavelmente de forma intencional”, comenta Sean Gallagher, Pesquisador Sênior de Ameaças da Sophos.

 

Conteúdos Relacionados

Security Report | Overview

Serasa Experian assina acordo de aquisição da ClearSale

A transação ampliará a oferta de serviços com foco em segurança nas operações de clientes
Security Report | Overview

Eleições 2024: Cibercrime usa IA para aplicar golpes se passando por candidatos

Com a crescente sofisticação dos ataques baseados em IA, é crucial que as pessoas estejam atentas, saibam reconhecer e evitar...
Security Report | Overview

5.000 e-mails falsos imitando a Microsoft circulam nas redes, detecta laboratório

Pesquisadores da Check Point Software debruçaram-se na análise desses e-mails que podem levar ao controle de contas de e-mail, ataques...
Security Report | Overview

67% das empresas de Saúde sofreram ataques de ransomware em 2023

Relatório da Sophos revela que setor tem maior número de ataques em quatro anos. Quase 80% das empresas atacadas levaram...