Um ator de ameaça nascente conhecido como Carniçais da Cripta tem sido associada a um conjunto de ataques cibernéticos direcionados a empresas e agências governamentais russas com ransomware, com o objetivo duplo de interromper as operações comerciais e obter ganhos financeiros.
“O grupo em análise possui um package de ferramentas que inclui utilitários como Mimikatz, XenAllPasswordPro, PingCastle, Localtonet, resocks, AnyDesk, PsExec e outros”, disse Kaspersky. “Como carga ultimate, o grupo usou os conhecidos ransomware LockBit 3.0 e Babuk.”
As vítimas dos ataques maliciosos abrangem agências governamentais, bem como empresas de mineração, energia, finanças e varejo localizadas na Rússia.
O fornecedor russo de segurança cibernética disse que foi capaz de identificar o vetor de intrusão inicial em apenas dois casos, com os agentes da ameaça aproveitando as credenciais de login de um contratante para se conectarem aos sistemas internos through VPN.
Diz-se que as conexões VPN se originaram de endereços IP associados à rede de um provedor de hospedagem russo e à rede de um contratante, indicando uma tentativa de passar despercebida ao transformar relacionamentos de confiança em armas. Acredita-se que as redes dos contratantes sejam violadas por meio de serviços VPN ou falhas de segurança não corrigidas.
A fase inicial de acesso é sucedida pelo uso de utilitários NSSM e Localtonet para manter o acesso remoto, com exploração subsequente facilitada por ferramentas como as seguintes –
- XenAllPasswordPro para coletar dados de autenticação
- Porta dos fundos CobInt
- Mimikatz para extrair credenciais das vítimas
- dumper.ps1 para despejar tickets Kerberos do cache LSA
- MiniDump para extrair credenciais de login da memória de lsass.exe
- cmd.exe para copiar credenciais armazenadas nos navegadores Google Chrome e Microsoft Edge
- PingCastle para reconhecimento de rede
- PAExec para executar comandos remotos
- AnyDesk e resocks proxy SOCKS5 para acesso remoto
Os ataques terminam com a criptografia dos dados do sistema usando versões publicamente disponíveis do LockBit 3.0 para Home windows e Babuk para Linux/ESXi, ao mesmo tempo que tomam medidas para criptografar os dados presentes na Lixeira para inibir a recuperação.
“Os invasores deixam uma nota de resgate com um hyperlink contendo sua identificação no serviço de mensagens Session para contato futuro”, disse Kaspersky. “Eles se conectariam ao servidor ESXi through SSH, carregariam o Babuk e iniciariam o processo de criptografia dos arquivos nas máquinas virtuais”.
A escolha de ferramentas e infraestrutura da Crypt Ghouls nesses ataques se sobrepõe a campanhas semelhantes conduzidas por outros grupos visando a Rússia nos últimos meses, incluindo MorLock, BlackJack, Twelve, Shedding Zmiy (também conhecido como ExCobalt)
“Os cibercriminosos estão aproveitando credenciais comprometidas, muitas vezes pertencentes a subcontratados, e ferramentas populares de código aberto”, disse a empresa. “O package de ferramentas compartilhado usado nos ataques à Rússia torna difícil identificar os grupos hacktivistas específicos envolvidos.”
“Isso sugere que os atores atuais não estão apenas compartilhando conhecimento, mas também seus kits de ferramentas. Tudo isso apenas torna mais difícil identificar atores maliciosos específicos por trás da onda de ataques dirigidos a organizações russas”.