Resumo dos ataques cibernéticos – Setembro de 2020

Eyal Aharoni

Em setembro de 2020, o cibercrime causou a morte de uma vítima inocente. Um paciente que sofria de uma doença fatal teve que ser rejeitado em um hospital na cidade de Düsseldorf, pois os sistemas foram bloqueados devido a um ataque de ransomware. Isso obrigou a ambulância que a transportava a dirigir-se a um hospital na cidade vizinha de Wuppertal. O paciente morreu no caminho. Os atores da ameaça invadiram o hospital usando um brecha no software Citrix.

Os hospitais continuam a ser um alvo popular, mesmo em tempos DE COVID-19. No final de setembro, o Universal Health Services, que tem mais de 400 locais, estava recebendo um ataque de ransomware. Desde que o ransomware Ryuk foi usado, dedos apontaram para o grupo russo de crimes cibernéticos Wizard Spider.

Os ataques de ransomware foram galopantes novamente, tornando-se mais sofisticados. Vamos começar com Thanos, um Ransomware-as-a-Service (RaaS) anunciado em fóruns de hackers de língua russa, que permite aos afiliados personalizar seu próprio ransomware por meio de um construtor oferecido pelo desenvolvedor. Em setembro, vimos uma nova variante que foi usada para atacar duas organizações estatais no Oriente Médio e no Norte da África. Esta versão Thanos sobrescreve os registros mestre de inicialização (MBR) para entregar sua nota de resgate exigindo $ 20.000 em Bitcoins. Esse ataque específico envolveu várias camadas de scripts do PowerShell, código C# embutido e código shell para carregar o ransomware na memória e executá-lo na rede local usando as credenciais roubadas mencionadas anteriormente.

Em setembro, um novo grupo de ransomware entrou em cena com o objetivo de grandes redes corporativas. Chamados de OldGremlin, eles usaram backdoors e malware de criptografia de arquivos feitos por eles mesmos durante o ataque. Eles usaram backdoors TinyPosh e TinyNode personalizados, ransomware TinyCrypt, também conhecido como decr1pt, bem como software de terceiros para reconhecimento e movimento lateral, como Cobalt Strike e Mail PassView da NirSoft para recuperação de senha de e-mail. Por enquanto, as vítimas de OldGremlin estão limitadas a laboratórios médicos, bancos, fabricantes e desenvolvedores de software russos. Isso pode mudar em breve.

Os ataques seguem um caminho familiar:

• E-mails de spear phishing foram enviados, se passando por pessoas bem conhecidas, como jornalistas
• Os e-mails continham malware, TinyPosh ou TinyNode backdoor, para acesso inicial
• Uma vez dentro da rede da vítima, módulos adicionais foram baixados do servidor C&C
• O protocolo de área de trabalho remota foi usado para movimento lateral
• OldGremlin identificou sistemas valiosos e então iniciou a criptografia de arquivos
• Os backups do servidor foram excluídos e centenas de computadores corporativos foram bloqueados
• A nota de resgate foi deixada pedindo cerca de US $ 50.000 em criptomoeda para a chave de descriptografia
• Para entrar em contato com OldGremlin, um endereço de e-mail da Proton foi incluído na nota de resgate

No final de setembro, a Arthur J. Gallagher & Co., uma das maiores corretoras de seguros do mundo, foi atingida por um ataque de ransomware. Os agentes da ameaça obtiveram acesso por meio de dois servidores F5 BIG-IP vulneráveis ​​ao CVE-2020-5902, uma vulnerabilidade de execução remota de código não autenticada. A empresa foi forçada a colocar todos os seus sistemas globais offline.

Em setembro, o FinSpy para Microsoft Windows e Android foi distribuído por meio de um falso site de download do Adobe Flash Player. FinSpy é um pacote de spyware disponível comercialmente, popular entre os agentes de ameaças, mas também usado por agências de aplicação da lei e governos em todo o mundo. Produzido pela FinFisher GmbH, com sede em Munique, FinSpy é conhecido por ser usado para espionar Defensores dos Direitos Humanos (DDHs), como ativistas, jornalistas e dissidentes. Uma vez instalado, o FinSpy pode interceptar comunicações, acessar dados privados e gravar áudio e vídeo.

Estamos concluindo este encerramento com os ciberataques dirigidos ao Vaticano. A RedDelta, com sede na China, lança ataques cibernéticos contra o Vaticano e instituições católicas antes da renovação do acordo China-Santa Sé. Usando e-mails de spear-phishing contendo a ferramenta de acesso remoto PlugX (RAT), os agentes de ameaças obtiveram informações sobre a posição de negociação do Vaticano antes da renovação. A RedDelta usou vários servidores PlugX C2, bem como a infraestrutura Poison Ivy e Cobalt Strike Beacon C2 para se comunicar com os servidores comprometidos do Vaticano.

As organizações se protegem contra os ataques de malware mais recentes com a Immediate Threats – avaliação de ameaças imediatas – da CYMULATE. Isso permite que você teste e verifique por si mesmo se sua organização está exposta a esses ataques. Ele também oferece sugestões de atenuações caso sua organização seja realmente vulnerável.

IOCs (pistas encontradas em vários lugares, dentro e fora de nossas redes que indicam se houve algum tipo de violação, ou se estão havendo tentativas de comprometimento) também estão disponíveis na interface do usuário do Cymulate!