Ransomware CloAk criptografa dados e opera com outros grupos para pressionar o pagamento de resgate

Por Heimdall: O Ransomware CloAk, surgido entre o final de 2022 e início de 2023, representa um grupo de ransomware relativamente novo que tem se destacado, principalmente, por suas atividades na Europa, com um foco especial na Alemanha​​. Este malware criptografa dados das vítimas e exige um pagamento de resgate em troca da chave de descriptografia. Além de criptografar os arquivos, o CloAk tenta eliminar cópias de sombra de volume usando o comando vssadmin.exe delete shadows /all /quiet, renomeando os arquivos afetados com extensões que variam de .crYptA a .crYptE​​.

Logo da página do Ransomware na Deep Web

Análise da ameaça – Vetor Inicial

Em análise foi observado que o grupo CloAk Ransomware, utiliza-se de acessos comprados de corretores de acesso inicial (IABs) em mercados clandestinos, como uma das suas principais táticas de invasão. Esses IABs procuram obter acesso às redes de suas vítimas e vendê-lo a outros atores de ameaças. A partir de maio de 2023, interfaces de funcionários comprometidas foram oferecidas à venda, o que sugere ser a etapa inicial e principal vetor de ataque do grupo para ganhar acesso às redes das vítimas.

Outros métodos de distribuição observados do ransomware são: Engenharia social como phishing, Malvertising, Kits de exploração, Protocolo de área de trabalho remota (RDP), Drive-By Download e Software pirata.

Cadeia de ataque do Ransomware CloAk

Abaixo segue detalhes do funcionamento da cadeia de ataque do ransomware.

Acesso Inicial

O ator de ameaça obtém acesso à rede ou máquina usando vários métodos, como engenharia social, malvertising, kits de exploração, protocolo de desktop remoto (RDP), credenciais roubadas, downloads drive-by ou software pirata.

Reconhecimento

Assim que o invasor obtém acesso, ele procede ao reconhecimento para identificar a rede e os dispositivos do alvo.

Movimento lateral

O invasor se move lateralmente pela rede para obter acesso a todos os dispositivos e sistemas.

Exfiltração

O invasor exfiltra dados da rede ou máquina, que são então usados para ameaçar a vítima e fazê-la pagar o resgate.

Implantação do ransomware

O invasor implanta a carga útil do ransomware Cloak para criptografar os dados da vítima.

Demanda de resgate e vazamento de dados

  • O ransomware exibe uma mensagem à vítima, explicando que os arquivos estão inacessíveis e só podem ser acessados novamente mediante pagamento de resgate aos invasores.

O grupo de ransomware Cloak tem um site de extorsão conhecido, onde vende e vaza dados de suas vítimas:

Apresentação das possíveis vítimas do grupo em sua página na Deep Web

Extensão de arquivos criptografados

  • .crYptA
  • .crYptB
  • .crYptC
  • .crYptD
  • .crYptE

Nota de resgate

O Ransomware CloAk apresenta uma notificação de resgate denominada “readme_for_unlock.txt“, solicitando um pagamento em retorno pela chave que desfaz a criptografia dos dados. Essa notificação visa pressionar o afetado a efetuar o pagamento do resgate. A nota de resgate contém um texto que procura intimidar a vítima, destacando as consequências de não realizar o pagamento, e oferece instruções sobre como proceder para a negociação do resgate.

Veja o conteúdo da nota de resgate do CloAk abaixo:

Nota de resgate do ransomware

Parceria com outros grupos de ransomware

Adicionalmente, foi observada por pesquisadores da SentinelOne uma interconexão entre o ransomware Good Day, da família ARCrypter, e o CloAk, em que vítimas do Good Day foram listadas no site de extorsão do CloAk. Este vínculo indica uma colaboração ou ao menos um relacionamento entre os grupos de ameaças, onde as vítimas de um malware podem acabar sendo alvo de outro, intensificando a pressão para o pagamento do resgate através da ameaça de vazamento ou venda de dados sequestrados​.

O cenário de ameaças representado pelo CloAk e sua possível colaboração com outros malwares, como o Good Day, ressalta a importância de práticas robustas de cibersegurança, incluindo backups offline e regulares, segmentação de rede e atualizações frequentes de software para mitigar o risco de infecção.

MITRE ATT&CK – TTPs

TáticaTécnicaDetalhes
Initial AccessT1078 T1566 T1133O adversário pode realizar o uso de credenciais válidas, phishing e serviços remotos externos para o acesso inicial
ExecutionT1204Os adversários podem depender de ações específicas realizadas por usuários para executar código malicioso
PersistenceT1547Os adversários podem definir as configurações do sistema para executar automaticamente um programa durante a inicialização ou logon do sistema para manter a persistência ou obter privilégios de nível superior em sistemas comprometidos.
Defense EvasionT1622 T1070.001 T1070.004 T1564.003  Os adversários podem empregar vários meios para detectar e evitar depuradores. Os adversários podem limpar os logs de eventos do Windows e excluir arquivos deixados, para ocultar a atividade de uma intrusão. Os adversários podem usar janelas ocultas para ocultar atividades maliciosas da vista dos usuários.  
Credential AccessT1003.001Os adversários podem tentar acessar credenciais armazenadas na memória (LSASS).
DiscoveryT1057 T1082 T1083Os adversários podem tentar obter informações sobre processos em execução em um sistema entre outras informações como hardware, patches e etc.
Command and ControlT1021Os adversários podem usar contas válidas para fazer login em um serviço que aceita conexões remotas, como telnet, SSH e VNC.
ImpactT1486 T1489 T1490 T1657Os adversários podem apagar dados e roubar informações valiosas, podem roubar recursos e realizar extorsão para ganhos financeiros.
Tabela MITRE ATT&CK

Como se proteger

Existem algumas medidas de segurança que podem ser adotadas visando a mitigação da infecção do referido malware, como por exemplo:

Mantenha seu antivírus atualizado

  • A primeira linha de defesa é um programa antivírus robusto e atualizado. Estes programas são projetados para detectar e bloquear ransomware antes que possa causar danos​​.

Evite pop-ups suspeitos

  • Não clique em pop-ups que solicitem instalação ou atualização de software enquanto navega na Internet. Estes podem ser uma tentativa de instalar malware no seu dispositivo​​.

Cuidado com links e anexos em e-mails

  • Os ataques de phishing, em que e-mails parecem vir de fontes legítimas mas contêm links maliciosos, são um vetor comum para a distribuição de ransomware. Verifique sempre a autenticidade dos e-mails antes de clicar em links ou abrir anexos​​.

Use apenas fontes confiáveis para downloads

  • Para evitar ransomware e outros tipos de malware, faça downloads apenas de fontes confiáveis, como a Microsoft Store, Apple App Store e Google Play Store​​.

Implemente uma arquitetura de confiança zero

  • Assuma que sua rede já pode estar comprometida e minimize a incerteza ao impor decisões de acesso com o menor privilégio possível​​.

Faça varreduras regulares de vulnerabilidade

  • Identifique e corrija vulnerabilidades, especialmente em dispositivos voltados para a Internet, para limitar as superfícies de ataque. A atualização regular de software e sistemas operacionais também é crucial​​.

Configure apropriadamente todos os dispositivos

  • Isso inclui dispositivos on-premises, serviços em nuvem, dispositivos móveis e pessoais (BYOD). Desative portas e protocolos que não estão sendo usados para propósitos comerciais​​.

Limite o uso de protocolo de Desktop Remoto (RDP)

  • Se necessário, aplique práticas recomendadas, como o fechamento de portas RDP não utilizadas, aplicação de autenticação multifatorial (MFA) e log de tentativas de login​​.

Backups regulares

  • Faça backups regulares de seus dados importantes. Em caso de ataque, você poderá restaurar seus arquivos sem pagar o resgate. É recomendável manter os backups em dispositivos ou serviços não conectados diretamente à sua rede​​.

Evite expor serviços vulneráveis na Internet

  • Não exponha serviços desnecessários, como o Protocolo de Área de Trabalho Remota (RDP), na internet. Se necessário, utilize controles compensatórios apropriados para evitar abusos e explorações​.

Conscientização e treinamento de funcionários

  • Eduque seus funcionários sobre os riscos de ransomware e as práticas recomendadas para evitá-los. A conscientização pode ser uma ferramenta poderosa contra ataques de phishing e outras formas de engenharia social.

Indicadores de Comprometimento (IOCs)

A ISH Tecnologia realiza o tratamento de diversos indicadores de compromissos coletados por meio de fontes abertas, fechadas e também de análises realizadas pela equipe de segurança Heimdall. Diante disto, abaixo listamos todos os Indicadores de Compromissos (IOCs) relacionadas a análise do(s) artefato(s) deste relatório:

Indicadores de URL, IPs e Domínios
URLhttp[:]//cloak7jpvcb73rtx2ff7kaw2kholu7bdiivxpzbhlny4ybz75dpxckqd[.]onion/
Indicadores de Comprometimento de Rede

Obs: Os links e endereços IP elencados acima podem estar ativos; cuidado ao realizar a manipulação dos referidos IoCs, evite realizar o clique e se tornar vítima do conteúdo malicioso hospedado no IoC.

Referências

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *