Um serviço voltado exclusivamente para quem deseja praticar os mais diversos tipos de crimes cibernéticos faz muito sucesso mundo afora. É o serviço Dark Utilities C2, que facilita a vida de criminosos cibernéticos. Trata-se de uma plataforma que torna mais fácil para os criminosos cibernéticos estabelecerem servidores de comando e controle (C2). Pelo menos 3.000 usuários já usaram os serviços desde o lançamento no início deste ano e provavelmente expandirá sua lista de clientes nos próximos meses.
Chamado de Dark Utilities, o serviço oferece uma lista completa de recursos C2 para dar aos invasores uma plataforma mais fácil e barata para lançar ataques de acesso remoto, execução de comandos, mineração de criptomoedas e negação de serviço distribuído (DDoS). As operadoras do serviço também fornecem suporte técnico e ajuda aos usuários da plataforma por meio de comunidades criadas nos aplicativos de mensagens Discord e Telegram.
Serviço Dark Utilities C2 facilita a vida de criminosos cibernéticos
Dark Utilities é o exemplo mais recente de malware como serviço (MaaS) e ransomware como serviço (RaaS) que diversifica a receita dos criminosos cibernéticos. Assim, permite que eles lucrem com programadores menos qualificados em cima de suas próprias explorações.
Também ecoa outras tendências, incluindo o surgimento de corretores de acesso, que comprometem os sistemas e depois vendem esse acesso a outros que o usam para lançar ataques.
Hub para criminosos
Os servidores C2 atuam como um hub para criminosos cibernéticos durante os ataques, permitindo que eles gerenciem seu malware enviando comandos e cargas úteis e recebendo dados que são filtrados de sistemas infectados. Por meio do Dark Utilities, os criminosos obtêm uma plataforma que suporta ataques baseados em Windows, Linux e Python sem precisar criar canais para um servidor C2.
“É um componente chave para acelerar o desenvolvimento e reduzir o nível da infraestrutura RaaS e MaaS”, disse Andrew Hay, COO da LARES Consulting, ao The Register . “Com uma plataforma tão fácil de usar, os desenvolvedores só precisam se preocupar em construir ou modificar os componentes de malware de seu ataque.”
Preços acessíveis
Também é barato e parece ser um jogo de volume. De acordo com pesquisadores da organização de inteligência de ameaças Talos da Cisco, os usuários podem obter acesso à plataforma – que está hospedada na Internet e na rede Tor – juntamente com as cargas maliciosas associadas e os terminais de API por € 9,99 (US$ 10,17). Em uma postagem no blog, os pesquisadores do Talos escreveram que nos meses desde o surgimento, a plataforma C2 arrecadou cerca de US$ 30.500.
Dado o custo relativamente baixo em comparação com a quantidade de funcionalidades que a plataforma oferece, é provável que seja atraente para os adversários que tentam comprometer os sistemas sem exigir que eles criem sua própria implementação C2 dentro de suas cargas de malware, escreveram os pesquisadores do Talos.
Esperamos que esta plataforma continue a expandir rapidamente sua base de usuários. Isso provavelmente resultará em um aumento no volume de amostras de malware na natureza tentando estabelecer o C2 usando a plataforma.
Hay disse que “se um serviço puder ser modificado para fornecer recursos a um público maior e a um preço consumível, a evolução da oferta de serviços continuará”.
Os pesquisadores da Talos escreveram que quase imediatamente após o estabelecimento da Dark Utilities, eles viram amostras de malware em estado selvagem usando o serviço para estabelecer canais de comunicação C2 e recursos de acesso remoto em sistemas Windows e Linux infectados.
Além do Linux e Windows
A plataforma C2-as-a-service (C2aaS) adicionou mais recentemente suporte para outras arquiteturas. Isso inclui ARM64 e ARMV71. Assim, podem aproveitar para direcionar dispositivos como roteadores, telefones e dispositivos de Internet das Coisas (IoT).
A plataforma usa a rede ponto a ponto do InterPlanetary File System (IPFS) para hospedar as cargas úteis para torná-las mais persistentes, mais fáceis de ocultar e mais difíceis de derrubar. O fornecedor de segurança cibernética Trustwave escreveu no mês passado sobre como os grupos de ameaças estão aproveitando cada vez mais a natureza descentralizada do IPFS para seus ataques de phishing, por esses motivos.
O IPFS é “explicitamente projetado para impedir que autoridades centralizadas ajam sobre o conteúdo hospedado lá”, escreveram os pesquisadores do Talos. “Observamos adversários cada vez mais fazendo uso dessa infraestrutura para hospedagem e recuperação de carga útil, pois ela fornece efetivamente ‘hospedagem à prova de bala’.”
Como se dá a logística
O Dark Utilities usa o Discord para autenticação. Depois de autenticação, os usuários veem um painel para gerar cargas úteis direcionadas a um sistema operacional que são implantados em hosts direcionados. Após criar um canal C2, o invasor obtém acesso total aos sistemas para executar as cargas úteis.
Depois da escolha do sistema operacional, cria-se uma string de comando que os invasores incorporarão no PowerShell ou Bash, de acordo com Talos. Para ganhar persistência, a carga útil cria uma chave de registro para sistemas Windows ou uma entrada Crontab ou um serviço Systemd em máquinas Linux.
Os pesquisadores escreveram que o Dark Utilities provavelmente tem criação e manutenção feita por uma persona que usa o apelido Inplex-sys. Essa pessoa não tem muita história no mundo do crime cibernético. Embora logo após o lançamento do Dark Utilities, ele surgiu no canal Telegram do Lapsus$ Group. Eles acreditam que a Inplex-sys está localizada na França.
Crescimento rápido
Dada a rapidez com que a Dark Utilities conseguiu coletar usuários em um curto período de tempo – e a probabilidade de atrair muitos mais nos próximos meses – “as organizações devem estar cientes dessas plataformas C2aaS e garantir que tenham controles de segurança para ajudar proteger seus ambientes”, escreveram os pesquisadores.
Isso inclui ferramentas para proteger endpoints e detectar e-mails maliciosos enviados por invasores. As empresas também precisam de dispositivos de firewall de última geração para detectar atividades maliciosas associadas à ameaça dos usuários do Dark Utilities. Além disso, uma ferramenta de análise de malware para identificar binários maliciosos.
Eles também devem usar autenticação multifator, ferramentas para bloquear o acesso a sites possivelmente maliciosos e testar sites suspeitos antes que os usuários possam acessá-los.
Hay da LARES também defende a educação.
“Se uma organização não expandir continuamente seu conhecimento sobre ameaças e ferramentas em evolução, ela pode ser pega de surpresa se o ataque for direcionado a ela”, disse ele. “Saber como as ferramentas funcionam e detectar sua presença [e] atividade deve ser um objetivo de qualquer monitoramento de segurança operacional e programa de resposta a incidentes.”
