Picus Em mais um mês agitado para os CISOS, o relatório da Picus Security, pioneira em simulação de violação e ataque (BAS - Breach and Attack Simulation), mostra o surgimento de campanhas de ciberataques deflagradas por novos grupos de hackers e famílias de malware. Entre as mais significativas estão: Ransomware Maui, que utiliza um método de criptografia híbrido envolvendo AES, criptografia RSA e codificação XOR o que aumenta seu impacto; Green Stone Malware Dropper, que envia documentos Open XML contendo uma macro maliciosa, que descompacta e roda um executável, com recursos de espionagem, em um diretório temporário, o que evita sua a detecção pela maioria dos antivírus.
O Ransomware HavanaCrypt foi mais um que apareceu em julho. Ele se disfarça como um aplicativo legítimo do Google Software e usa um endereço IP pertencente a um serviço de hospedagem da Microsoft como seu servidor C2 para evitar a detecção. Outro ataque foi o de um Ransomware que usa o método de dupla extorsão: rouba os dados confidenciais, os criptografa e libera uma nota de resgate com um endereço de bate-papo no Browser Tor, o mais utilizado para acessar a DeepWeb (e, portanto, a DarkWeb). Já o Ransomware H0lyGh0st, embora atue desde 2021, o grupo agora contra-ataca com uma variante desse malware mais persistente e melhorada, o BTLC.exe.
“Sem resiliência cibernética, empresas, entidades do governo e outras organizações estão fadadas a se tornarem as próximas vítimas de ransomware e de inúmeros outros ciberataques, como temos visto em todo o mundo”, alerta Tom Camargo, VP da CLM, distribuidor latino-americano de valor agregado com foco em segurança da informação, proteção de dados, infraestrutura para data centers e cloud.
Para o executivo da CLM, que distribui a tecnologia da Picus na América Latina, neste cenário extremamente dinâmico e marcado pelo surgimento de novos grupos de cibercriminosos, agindo com novas formas de ataque, a agilidade na resposta se mostra cada vez mais essencial para evitar o sequestro de dados e outros males causados por um número crescente de ameaças virtuais. “O suporte de tecnologias que simulam rapidamente a periculosidade permite testar a eficácia dos controles de segurança. O Picus Labs incluiu simulações dos diversos ataques registrados em julho na Picus Threat Library, atualizando em tempo real a plataforma Picus Complete Security Control Validation”.
Veja os detalhes dos cinco principais ataques neste período abaixo:
- Ransomware Maui
A Agência de Segurança Cibernética e Infraestrutura (CISA), o Departamento do Tesouro dos EUA e o Federal Bureau of Investigation (FBI) divulgaram um comunicado conjunto, em 06 de julho, sobre um agente de ameaças virtuais, baseado na Coreia do Norte que usava, o ransomware Maui. Grupos afiliados a este ransomware são conhecidos principalmente por infligir ataques de ransomware, ao que parece, patrocinados pelo governo Norte Coreano em setores de saúde. O Maui emprega um único método de extorsão, portanto, não exfiltra dados ou remove backups do sistema.
O curioso é que ele não emprega técnica de movimento lateral (quando o invasor se espalha de um ponto ou conta não confidencial para o restante da rede) e não envia nota instruindo suas vítimas a pagar o resgate. No entanto, o Maui utiliza um método de criptografia híbrido combinando AES, criptografia RSA e codificação XOR para aumentar o impacto. Enquanto o algoritmo RSA gera um novo par de chaves pública-privada, o algoritmo AES criptografa cada arquivo no modo CBC. Depois que cada arquivo é criptografado com uma chave secreta exclusiva, essas chaves secretas são criptografadas com a chave pública que é gerada logo no início do ataque. A Picus Threat Library incluiu as seguintes ameaças para o ransomware Maui:
ID da ameaça | Nome da ameaça |
56700 | Maui Ransomware Download Threat (Network Infiltration) |
64940 | Maui Ransomware Email Threat (Email Infiltration (Phishing)) |
- Green Stone Malware Dropper
No fim de julho, muitas empresas iranianas receberam um documento Office Open XML contendo uma macro maliciosa, cujas funções descompactam e rodam um executável em um diretório temporário, o que é uma prática comum empregada nos ciberataques para evitar a detecção. Análises posteriores mostraram que o executável possui recursos de espionagem cibernética. Ele coleta informações sobre o sistema operacional, faz capturas de tela e envia os dados coletados para um servidor remoto.
A análise desse malware aponta para uma técnica incomum de troca de comandos usando um bot do Telegram. Essa técnica evita comunicações desnecessárias com um servidor remoto e oculta o servidor C2.
Figura 2: Comandos suportados por meio de um bot do Telegram “Como muitos grupos que usam APT (advanced persistent threat) preferem incorporar conteúdos maliciosos em um documento que parece inofensivo, as empresas precisam saber das possíveis ameaças provenientes de e-mails e avaliar a eficácia da sua proteção XDR contra Spam, Phishing e diversos malwares, como o Green Stone Malware Dropper”, recomenda Camargo.
A Picus Threat Library inclui as seguintes ameaças para o dropper de malware Green Stone:
ID da ameaça | Nome da ameaça |
69096 | Green Stone Malware Dropper Email Threat (Email Infiltration (Phishing)) |
70452 | Green Stone Malware Dropper Download Threat (Network Infiltration) |
3. O Ransomware HavanaCrypt
O ano de 2022 foi marcado pela distribuição de malware disfarçado em programas legítimos e atualizações de software, como as do Windows 10, Google Chrome e Microsoft Exchange. Este mês, uma nova família de malwares, o HavanaCrypt, foi encontrada em estado nativo. Este malware se disfarça de aplicativo legítimo do Google Software e usa um endereço IP pertencente a um serviço de hospedagem na Microsoft Azure, que é o servidor C2, para parecer legítimo. Análises posteriores mostraram que o malware usa a função QueueUserWorkItem para implementar um leque de ameaças para seus outros payloads e um método de namespace .NET System.Threading, que permite uma sequência de métodos de execução. O HavanaCrypt usa os módulos KeePass Password Safe, um gerenciador de senhas de código aberto, durante o processo de criptografia de arquivos.
Este malware é um aplicativo compilado em .NET e protege seu código em um assembly .NET usando o Obfuscar, um ofuscador .NET de código aberto.
Figura 3. Amostra ofuscada do HavanaCrypt
O malware HavanaCrypt foi projetado para ter várias técnicas antivirtualização para evitar a análise dinâmica no caso de ser executado em uma máquina virtual. Ele ainda verifica os serviços usados principalmente por máquinas virtuais, como VMware Tools, VMTools e mouse wm. Para analisar esse malware, os pesquisadores usaram ferramentas de desofuscação como DeObfuscar e de4dot.
Figura 4. Serviços verificados pelo malware HavanaCrypt
Constatou-se que os diretórios do Browser Tor estão entre os alvos que o HavanaCrypt evita criptografar. Os atacantes podem ter planejado manter a comunicação com suas vítimas pelo navegador Tor. Outra coisa estranha que chama a atenção é que os criminosos não enviam notas de resgate. “Com isso em mente, os pesquisadores acham que o HavanaCrypt ainda está em processo de desenvolvimento. No entanto, é importante que as organizações testem seu sistema contra essa nova família de malware”, avisa o CEO da CLM.
A Picus Threat Library inclui as seguintes ameaças para o HavanaCrypt:
ID da ameaça | Nome da ameaça |
24728 | HavanaCrypt Ransomware Email Threat (Email Infiltration (Phishing)) |
91290 | HavanaCrypt Ransomware Download Threat (Network Infiltration) |
4. Ransomware Lilith
Um ransomware baseado no console C/C++ chamado Lilith foi descoberto em seu estado nativo. Esse malware foi projetado para a arquitetura Windows x64 e, como muitas outras operações de ransomware, o Lilith usa o método de dupla extorsão: rouba os dados confidenciais, os criptografa e envia uma nota de resgate fornecendo um endereço de bate-papo no navegador Tor no sistema de destino.
Figura 5: Nota de resgate enviada pelos invasores
A análise mostra que o malware Lilith não criptografa todos os tipos de arquivos no sistema de destino. Por exemplo, EXE, DLL, SYS e Arquivos de Programas, navegadores da Web e Pastas da Lixeira são excluídos do processo de criptografia. Além desses arquivos, um arquivo estranho encontrado no sistema da vítima chama a atenção: ecdh_pub_k.bin. Esse arquivo também é excluído do processo de criptografia e armazena a chave pública local das infecções por ransomware BABUK, indicando que essas duas famílias de malware podem estar vinculadas de alguma forma.
O malware executa a criptografia usando uma API criptográfica do Windows e a função CryptGenRandom do Windows para gerar uma chave aleatória. Embora os pesquisadores digam que a nova família Lilith não apresenta nenhuma novidade, é um dos mais recentes que as organizações precisam testar seus sistemas. A Picus Threat Library inclui as seguintes ameaças para o ransomware Lilith:
ID da ameaça | Nome da ameaça |
35395 | Lilith Ransomware Email Threat (Email Infiltration (Phishing)) Lilith Ransomware Download Threat (Network Infiltration) |
94407 | Lilith Ransomware Download Threat (Network Infiltration) |
5. Ransomware H0lyGh0st
O H0lyGh0st é um grupo de ameaças de extorsão cibernética da Coreia do Norte conhecido por desenvolver payloads de malware e perpetrar ataques de ransomware desde junho de 2021. Em 2018, eles lançaram muitos ataques bem-sucedidos contra empresas de pequeno e médio porte, como bancos, fabricantes, escolas e de eventos e companhias de planejamento de reuniões em todo o mundo.
Figura 6: Linha do tempo dos payloads desenvolvidas e usadas por H0lyGh0st
Embora o H0lyGh0st esteja atuante desde 2021 e rastreado pelo MSTIC (Microsoft Threat Intelligence Center) na época, o grupo agora contra-ataca com uma variante de malware mais persistente e melhorada: BTLC.exe. A Picus Threat Library inclui as seguintes ameaças para o ransomware H0lyGh0st:
Threat ID | Nome da ameaça |
20076 | H0lyGh0st Ransomware Malware Download Threat (Network Infiltration) |
41450 | H0lyGh0st Ransomware Malware Email Threat (Email Infiltration (Phishing)) |
97451 | DEV-0530 Threat Group Campaign Malware Download Threat (Network Infiltration) |
75946 | DEV-0530 Threat Group Campaign Malware Email Threat (Email Infiltration (Phishing)) |