Cibercriminosos usam ferramentas de gerenciamento remoto para implantar ransomware

grupo-de-ransomware-por-tras-de-ataques-contra-organizacoes-em-71-paises-e-desmontado

Cibercriminosos têm sido detectados cada vez mais dependendo das ferramentas de gerenciamento e monitoramento remoto (RMM) para implantar ransomware. Essa dependência resultou em uma distribuição relativamente malfeita do ransomware Hive.

Distribuição do Hive

A carga original consistia em um arquivo executável disfarçado de documento legítimo Segundo a Huntress, essa campanha provavelmente foi distribuída por e-mail, com um link que, ao ser clicado, baixava o executável. O DFIR relata que o método de acesso inicial exigia que o usuário final fosse um administrador local, pois usuários menos privilegiados causariam falha na instalação.

O agente da ameaça lançou comandos de descoberta por meio do ScreenConnect cerca de uma hora após a execução, utilizando ferramentas básicas do Windows, como informações do sistema, ipconfig e rede. Depois de alguns minutos, o agente da ameaça executou uma tarefa de transferência BITS para implantar um farol Cobalt Strike.

O agente da ameaça utilizou o ScreenConnect para baixar binários adicionais após ficar inativo por uma hora. Este novo arquivo continha um executável ApacheBench trojanizado com shellcode Metasploit escondido dentro dele. O shellcode iniciaria um comando Meterpreter e um canal de controle quando fosse executado. O ator da ameaça lançou um novo canal de comando e controle e depois fez a transição para o movimento lateral, lançando instaladores PowerShell e MSI para Atera e Splashtop em um servidor por meio de serviços remotos.

cibercriminosos-usam-ferramentas-de-gerenciamento-remoto-para-implantar-ransomware
Imagem: Reprodução | GBHackers

Uso de ferramentas de gerenciamento remoto para implantar ransomware

Mais transferências de BITS foram vistas para criar mais pontos de apoio do Cobalt Strike. Os relatórios dizem que o agente da ameaça executou um arquivo em lote que usou as ferramentas integradas do PowerShell para recuperar dados do Active Directory e teria lançado o ransomware Hive como o primeiro passo em sua operação final. Eles alteraram a senha do administrador antes de executar manualmente o ransomware em muitos servidores importantes.

Para realizar a criptografia em todo o domínio, o agente da ameaça colocou o binário do ransomware em um compartilhamento de rede. Em seguida, ele criou um novo GPO para todo o domínio com uma tarefa agendada para executar o binário do ransomware em cada máquina associada ao domínio.

cibercriminosos-usam-ferramentas-de-gerenciamento-remoto-para-implantar-ransomware
Imagem: Reprodução | GBHackers

Além disso, o agente da ameaça tentou criptografar todo o domínio após essas operações manuais de ransomware. E, de acordo com os pesquisadores, o tempo para o ransomware (TTR) desde o acesso inicial foi de 61 horas. O ator da ameaça apagou artefatos benéficos durante o ataque para esconder sua presença. Segundo a pesquisa, os invasores usaram serviços remotos para movimentação lateral.

Via: GBHackers