Os cibercriminosos responsáveis por um recente ataque de ransomware Qilin extraíram com sucesso credenciais armazenadas em navegadores Google Chrome de um número limitado de endpoints comprometidos.
Essa integração de roubo de credenciais em um ataque de ransomware é uma tática incomum e com implicações potencialmente de longo alcance, observou a empresa de segurança cibernética Sophos em um relatório na quinta-feira.
O ataque, identificado em julho de 2024, começou quando os agentes da ameaça se infiltraram na rede do alvo explorando credenciais de VPN comprometidas que não tinham autenticação multifator (MFA). As ações pós-exploração foram iniciadas 18 dias após o acesso inicial.
“Depois que o invasor acessou o controlador de domínio, ele modificou a política de domínio padrão para implantar um Objeto de Política de Grupo (GPO) baseado em logon contendo dois elementos”, explicaram os pesquisadores Lee Kirkpatrick, Paul Jacobs, Harshal Gosalia e Robert Weiland .
O primeiro elemento foi um script do PowerShell, “IPScanner.ps1”, projetado para coletar credenciais armazenadas no navegador Chrome. O segundo elemento, um script em lote (“logon.bat”), executou o script do PowerShell.
“O invasor deixou esse GPO ativo na rede por mais de três dias”, declararam os pesquisadores.
“Isso deu tempo suficiente para que os usuários acionassem inadvertidamente o script de coleta de credenciais simplesmente efetuando login em seus dispositivos. Como isso foi executado por meio de um GPO de logon, o roubo de credenciais ocorreu a cada login.”
Após exfiltrar as credenciais roubadas, os invasores limparam os rastros de suas atividades antes de criptografar os arquivos e implantar notas de resgate em todos os diretórios dos sistemas afetados.
O comprometimento das credenciais armazenadas no Chrome agora força os usuários afetados a redefinir seus detalhes de login para todas as contas de terceiros.
“Os operadores de ransomware estão continuamente evoluindo seus métodos e ampliando sua gama de técnicas”, observaram os pesquisadores.
“Se eles, ou outros criminosos cibernéticos, optarem por mirar cada vez mais nas credenciais armazenadas em endpoints — que podem ser aproveitadas para violar outros alvos ou coletar informações valiosas sobre entidades de alto perfil — isso pode sinalizar uma nova fase perturbadora no cenário do crime cibernético.”
Tendências em constante evolução em ransomware
Os últimos desenvolvimentos revelam que grupos de ransomware como Mad Liberator e Mimic adotaram novas táticas, com o Mad Liberator empregando solicitações não solicitadas do AnyDesk para exfiltração de dados e o Mimic explorando servidores Microsoft SQL expostos à Internet para acesso inicial.
Nos ataques do Mad Liberator, os agentes de ameaças usam seu acesso para implantar e executar um binário chamado “Microsoft Windows Update”, que apresenta uma tela inicial falsa do Windows Update para a vítima. Esse engano convence as vítimas de que as atualizações de software estão em andamento, enquanto seus dados estão sendo secretamente roubados.
O uso de ferramentas legítimas de desktop remoto, em vez de malware personalizado, permite que os invasores se misturem ao tráfego normal da rede, permitindo que eles realizem suas atividades maliciosas sem serem notados e evitem a detecção.
Apesar dos esforços intensificados de aplicação da lei, o ransomware continua altamente lucrativo, com 2024 prestes a estabelecer um novo recorde de receita. O ano também testemunhou o maior pagamento de ransomware de todos os tempos, totalizando aproximadamente US$ 75 milhões, feito ao grupo de ransomware Dark Angels.
De acordo com a empresa de análise de blockchain Chainalysis, “O pagamento médio de resgate para as cepas de ransomware mais graves aumentou de pouco menos de US$ 200.000 no início de 2023 para US$ 1,5 milhão em meados de junho de 2024, sugerindo que essas cepas estão priorizando atingir empresas maiores e provedores de infraestrutura crítica que podem ter maior probabilidade de pagar resgates altos devido aos seus bolsos fundos e importância sistêmica”
Estima-se que as vítimas de ransomware tenham pago US$ 459,8 milhões no primeiro semestre de 2024, ante US$ 449,1 milhões ano a ano. No entanto, dados on-chain revelam um declínio de 27,29% no número total de eventos de pagamento de ransomware, sugerindo que menos vítimas estão optando por pagar o resgate.
Notavelmente, grupos de ameaças de língua russa foram responsáveis por pelo menos 69% de todos os rendimentos de criptomoeda vinculados a ransomware em 2023, acumulando mais de US$ 500 milhões.
Dados do NCC Group mostram que os ataques de ransomware em julho de 2024 aumentaram mês a mês, subindo de 331 para 395, embora esse número seja menor do que os 502 ataques registrados no mesmo período do ano passado. Os grupos de ransomware mais ativos foram RansomHub, LockBit e Akira, com indústrias, cíclicos de consumo e hotéis e entretenimento sendo os setores mais frequentemente visados.
As organizações industriais continuam sendo os principais alvos dos grupos de ransomware, pois a natureza crítica de suas operações aumenta a pressão para atender às demandas de resgate a fim de minimizar as interrupções.
“Criminosos atacam setores onde eles podem infligir o máximo de dor e interrupção, antecipando que a demanda do público por resoluções rápidas pressionará as vítimas a pagar resgates para restaurar os serviços mais rapidamente”, disse Chester Wisniewski, diretor global de tecnologia de campo da Sophos.
“Isso torna os serviços públicos particularmente vulneráveis a ataques de ransomware. Dada a natureza crítica de seus serviços, a sociedade moderna espera que eles se recuperem rapidamente com o mínimo de interrupção.”
Os ataques de ransomware no setor de serviços públicos quase dobraram no segundo trimestre de 2024 em comparação ao primeiro trimestre, aumentando de 169 para 312 incidentes, de acordo com Dragos. A maioria dos ataques teve como alvo a América do Norte (187), seguida pela Europa (82), Ásia (29) e América do Sul (6).
“Os operadores de ransomware estão cronometrando cuidadosamente seus ataques para coincidir com os períodos de pico de feriados em certas regiões, visando maximizar a interrupção e aumentar a pressão sobre as organizações para fazer pagamentos”, observou o NCC Group.
Malwarebytes, em seu relatório State of Ransomware 2024, descreveu três tendências principais em táticas de ransomware no ano passado. Elas incluem um aumento nos ataques durante os fins de semana e nas primeiras horas da manhã (entre 1h e 5h) e uma redução no tempo entre o acesso inicial e a criptografia do arquivo.
Além disso, WithSecure observou uma exploração crescente de serviços de ponta e uma mudança para mirar em pequenas e médias empresas. As quedas do LockBit e do ALPHV (também conhecido como BlackCat) fragmentaram ainda mais o cenário do crime cibernético, levando os afiliados a se distanciarem das principais marcas devido à diminuição da confiança dentro da comunidade.
De fato, a Coveware relatou que mais de 10% dos incidentes de ransomware que lidou no Q2 de 2024 foram realizados por invasores não afiliados, frequentemente chamados de “lobos solitários”, que deliberadamente operaram independentemente de grupos de ransomware estabelecidos.
A Europol, em uma avaliação recente, observou que as remoções contínuas de fóruns e mercados de criminosos cibernéticos reduziram a vida útil de sites criminosos, pois os administradores trabalham para evitar atrair a atenção das autoridades policiais.
“Essa volatilidade, juntamente com um aumento nos golpes de saída, acelerou a fragmentação dos mercados criminosos”, declarou a Europol. “Ações recentes de aplicação da lei, juntamente com os vazamentos de códigos-fonte de ransomware — como Conti, LockBit e HelloKitty — fragmentaram o cenário de grupos ativos de ransomware e as variantes que eles implantam.”
Fonte: TheHackerNews