Já se foi o tempo em que grupos de ransomware operavam lançando campanhas de spam em massa por e-mail na esperança de infectar usuários aleatórios na Internet.
Hoje, os operadores de ransomware evoluíram de um nicho de gangues de malware desajeitadas para uma série de cartéis de crimes cibernéticos complexos com habilidades, ferramentas e orçamentos de grupos de hackers patrocinados pelo governo.
Assim, as gangues de ransomware contam com parcerias de vários níveis com outras operações do crime cibernético. Chamados de “corretores de acesso inicial “, esses grupos operam como a cadeia de suprimentos do submundo do crime. Fornecem às gangues de ransomware (e outras) acesso a grandes coleções de sistemas comprometidos.
Consistindo em endpoints RDP hackeados, dispositivos de rede backdoor e computadores infectados por malware, esses sistemas permitem que gangues de ransomware obtenham acesso facilmente a redes corporativas, aumentem seu acesso e criptografem arquivos para exigir resgates enormes.
Esses corretores de acesso inicial são uma parte crucial do cenário do crime cibernético.
Hoje, três tipos de corretores se destacam como as fontes da maioria dos ataques de ransomware:
- Vendedores de endpoints RDP comprometidos: gangues de crimes cibernéticos estão atualmente realizando ataques de força bruta contra estações de trabalho ou servidores configurados para acesso RDP remoto que também foram deixados expostos na Internet com credenciais fracas. Esses sistemas são posteriormente vendidos nas chamadas “lojas RDP”, de onde gangues de ransomware geralmente selecionam sistemas que acreditam estar localizados dentro da rede de um alvo de alto valor.
- Vendedores de dispositivos de rede hackeados: gangues do crime cibernético também estão usando exploits para vulnerabilidades conhecidas publicamente para assumir o controle dos equipamentos de rede de uma empresa, como servidores VPN, firewalls ou outros dispositivos periféricos. O acesso a esses dispositivos e às redes internas que eles protegem / conectam é vendido em fóruns de hackers ou para gangues de ransomware diretamente.
- Vendedores de computadores já infectados com malware: muitos dos botnets de malware atuais frequentemente vasculham os computadores que infectam em busca de sistemas em redes corporativas e, em seguida, vendem o acesso a esses sistemas de alto valor para outras operações do cibercrime, incluindo gangues de ransomware.
A proteção contra esses três tipos de vetores de acesso costuma ser a maneira mais fácil de evitar o ransomware.
No entanto, embora a proteção contra os dois primeiros normalmente envolva praticar boas políticas de senha e manter o equipamento atualizado, o terceiro vetor é mais difícil de proteger.
Isso ocorre porque os operadores de botnet de malware muitas vezes dependem da engenharia social para enganar os usuários para que instalem malware em seus próprios sistemas, mesmo se os computadores estiverem executando softwares atualizados.
Este artigo enfoca os tipos de malware conhecidos que foram usados nos últimos dois anos para instalar ransomware.
Conheça os piores malwares da atualidade
Compilada com a ajuda de pesquisadores de segurança da Advanced Intelligence, Binary Defense e Sophos, a lista abaixo deve servir como um momento de “código vermelho” para qualquer organização.
Assim que qualquer uma dessas cepas de malware for detectada, os administradores de sistema devem abandonar tudo, colocar os sistemas offline e auditar e remover o malware como prioridade.
Emotet é considerado o maior botnet de malware da atualidade.
Existem poucos casos em que o Emotet lidou com gangues de ransomware diretamente, mas muitas infecções de ransomware foram rastreadas até as infecções iniciais do Emotet.
Normalmente, a Emotet vendia o acesso aos seus sistemas infectados para outras gangues de malware, que mais tarde vendiam seu próprio acesso a gangues de ransomware.
Hoje, a cadeia de infecção de ransomware mais comum ligada ao Emotet é: Emotet — Trickbot — Ryuk
Trickbot é um botnet de malware e cibercrime semelhante ao Emotet. O Trickbot infecta suas próprias vítimas, mas também é conhecido por comprar acesso a sistemas infectados pelo Emotet para aumentar seu número.
Nos últimos dois anos, pesquisadores de segurança viram o Trickbot vender acesso a seus sistemas para gangues de cibercrimes que mais tarde implantaram o Ryuk e, mais tarde, o ransomware Conti.
Trickbot — Conti
Trickbot — Ryuk
O BazarLoader é atualmente considerado um backdoor modular desenvolvido por um grupo com links ou que se originou da gangue principal do Trickbot. De qualquer forma, independentemente de como eles surgiram, o grupo está seguindo o modelo de Trickbt e já fez parceria com gangues de ransomware para fornecer acesso aos sistemas que infectam.
Atualmente, o BazarLoader tem sido visto como o ponto de origem para infecções com o ransomware Ryuk [ 1, 2, 3].
BazarLoader — Ryuk
QakBot, Pinkslipbot, Qbot ou Quakbot às vezes é referido dentro da comunidade infosec como o Emotet “mais lento” porque geralmente faz o que o Emotet faz, mas alguns meses depois.
Com a gangue Emotet permitindo que seus sistemas sejam usados para implantar ransomware, o QakBot também fez parceria recentemente com diferentes gangues de ransomware. Primeiro com MegaCortex, depois com ProLock e, atualmente, com a gangue de ransomware Egregor.
QakBot — MegaCortex
QakBot — ProLock
QakBot — Egregor
SDBBot é uma cepa de malware operada por um grupo de crimes cibernéticos conhecido como TA505 .
Não é uma cepa de malware comum, mas foi vista como o ponto de origem de incidentes em que o ransomware Clop foi implantado.
SDBBot — Clop
Dridex é mais uma gangue de trojan bancário que se reorganizou como um “downloader de malware”, seguindo os exemplos dados pela Emotet e Trickbot em 2017.
Embora no passado o botnet Dridex tenha usado campanhas de spam para distribuir o ransomware Locky para usuários aleatórios em toda a Internet, nos últimos anos, eles também estão usando computadores que infectaram para lançar cepas de ransomware BitPaymer ou DoppelPaymer para ataques mais direcionados contra alvos de alto valor.
Dridex — BitPaymer
Dridex — DoppelPaymer
Uma chegada tardia ao jogo “instalar ransomware”, o Zloader está se recuperando rapidamente e já estabeleceu parcerias com os operadores das variedades de ransomware Egregor e Ryuk.
Se há uma operação de malware que tem a capacidade e as conexões de se expandir, é essa.
Zloader — Egregor
Zloader — Ryuk
Pay attention to #Zloader!!! Widespread reporting from reliable sources has confirmed that #Zloader has led to ransomware. I recommend treating this like you would #BazarLoader. https://t.co/vnGixZjfWx
— Katie Nickels asks you to please stay home (@likethecoins) November 13, 2020
Buer, ou Buer Loader, é uma operação de malware que foi lançada no ano passado, mas já estabeleceu uma reputação e conexões no submundo do crime cibernético para fazer parceria com grupos de ransomware.
De acordo com a Sophos, alguns incidentes em que o ransomware Ryuk foi descoberto foram relacionados a infecções por Buer dias antes.
Buer-Ryuk
Phorpiex , ou Trik, é um dos botnets de malware menores, mas não menos perigoso.
As infecções com o ransomware Avaddon vistas no início deste ano foram associadas ao Phorpiex. Embora nem Avaddon nem Phorpiex sejam nomes comuns, eles devem ser tratados com o mesmo nível de atenção que Emotet, Trickbot e os outros.
Phorpiex — Avaddon
Japan is target of #Trik #Phorpiex spam campaign. #Avaddon #Ransomware is delivered. Similar to #Cerber #GandCrab #Nemty through this channel pic.twitter.com/20S6T3JFmv
— milkream (@milkr3am) June 9, 2020
CobaltStrike não é um botnet de malware. Na verdade, é uma ferramenta de teste de penetração desenvolvida para pesquisadores de segurança cibernética que também costuma ser usada por gangues de malware.
As empresas não são “infectadas” com CobaltStrike. No entanto, muitas gangues de ransomware implantam componentes CobaltStrike como parte de suas intrusões.
A ferramenta é freqüentemente usada como uma forma de controlar vários sistemas dentro de uma rede interna e como um precursor do ataque real de ransomware.
Muitas das cadeias de infecção listadas acima são, na verdade, [MalwareBotnet] —CobaltStrike— [Ransomware], com CobaltStrike geralmente servindo como o intermediário mais comum entre os dois.
Incluímos CobaltStrike em nossa lista a pedido de nossas fontes, que o consideram tão perigoso quanto uma cepa de malware de fato.