Um grupo hacktivista conhecido como Twelve foi observado usando um arsenal de ferramentas disponíveis publicamente para conduzir ataques cibernéticos destrutivos contra alvos russos.
“Em vez de exigir um resgate para descriptografar dados, a Twelve prefere criptografar os dados das vítimas e então destruir sua infraestrutura com um limpador para impedir a recuperação”, disse a Kaspersky em uma análise na sexta-feira.
“A abordagem é indicativa do desejo de causar o máximo de dano às organizações-alvo sem obter benefício financeiro direto.”
O grupo de hackers, que se acredita ter sido formado em abril de 2023 após o início da guerra russo-ucraniana, tem um histórico de ataques cibernéticos que visam paralisar as redes das vítimas e interromper as operações comerciais.
Também foi observado que ele realizava operações de hacking e vazamento que extraíam informações confidenciais, que eram então compartilhadas em seu canal do Telegram.
A Kaspersky disse que o Twelve compartilha sobreposições táticas e de infraestrutura com um grupo de ransomware chamado DARKSTAR (também conhecido como COMET ou Shadow), levantando a possibilidade de que os dois conjuntos de intrusão provavelmente estejam relacionados entre si ou sejam parte do mesmo cluster de atividades.
“Ao mesmo tempo, enquanto as ações da Twelve são claramente hacktivistas por natureza, a DARKSTAR se apega ao padrão clássico de dupla extorsão”, disse o fornecedor russo de segurança cibernética. “Essa variação de objetivos dentro do sindicato ressalta a complexidade e a diversidade das ameaças cibernéticas modernas.”
As cadeias de ataque começam com a obtenção de acesso inicial abusando de contas locais ou de domínio válidas, após o que o Distant Desktop Protocol (RDP) é usado para facilitar o movimento lateral. Alguns desses ataques também são realizados por meio de contratados da vítima.
“Para fazer isso, eles obtiveram acesso à infraestrutura do contratante e então usaram seu certificado para se conectar à VPN do cliente”, observou Kaspersky. “Tendo obtido acesso a isso, o adversário pode se conectar aos sistemas do cliente by way of Distant Desktop Protocol (RDP) e então penetrar na infraestrutura do cliente.”
Entre as outras ferramentas usadas pelo Twelve, destacam-se Cobalt Strike, Mimikatz, Chisel, BloodHound, PowerView, adPEAS, CrackMapExec, Superior IP Scanner e PsExec para roubo de credenciais, descoberta, mapeamento de rede e escalonamento de privilégios. As conexões RDP maliciosas com o sistema são tuneladas por meio do ngrok.
Também estão implantados shells internet PHP com capacidades para executar comandos arbitrários, mover arquivos ou enviar e-mails. Esses programas, como o shell internet WSO, estão prontamente disponíveis no GitHub.
Em um incidente investigado pela Kaspersky, os agentes da ameaça teriam explorado vulnerabilidades de segurança conhecidas (por exemplo, CVE-2021-21972 e CVE-2021-22005) no VMware vCenter para entregar um shell da internet que foi usado para instalar um backdoor chamado FaceFish.
“Para ganhar uma posição na infraestrutura de domínio, o adversário usou o PowerShell para adicionar usuários e grupos de domínio e modificar ACLs (Entry Management Lists) para objetos do Lively Listing”, disse. “Para evitar a detecção, os invasores disfarçaram seus malwares e tarefas sob os nomes de produtos ou serviços existentes.”
Alguns dos nomes usados incluem “Replace Microsoft”, “Yandex”, “YandexUpdate” e “intel.exe”.
Os ataques também são caracterizados pelo uso de um script do PowerShell (“Sophos_kill_local.ps1”) para encerrar processos relacionados ao software program de segurança Sophos no host comprometido.
As etapas finais envolvem o uso do Agendador de Tarefas do Home windows para iniciar ransomware e cargas de limpeza, mas não antes de coletar e exfiltrar informações confidenciais sobre suas vítimas por meio de um serviço de compartilhamento de arquivos chamado DropMeFiles na forma de arquivos ZIP.
“Os invasores usaram uma versão do widespread ransomware LockBit 3.0, compilado de código-fonte disponível publicamente, para criptografar os dados”, disseram os pesquisadores da Kaspersky. “Antes de começar a trabalhar, o ransomware encerra processos que podem interferir na criptografia de arquivos individuais.”
O limpador, idêntico ao malware Shamoon, reescreve o registro mestre de inicialização (MBR) em unidades conectadas e substitui todo o conteúdo do arquivo com bytes gerados aleatoriamente, impedindo efetivamente a recuperação do sistema.
“O grupo se apega a um arsenal de ferramentas de malware publicamente disponível e acquainted, o que sugere que ele não faz nenhuma própria”, observou Kaspersky. “Isso torna possível detectar e prevenir os ataques do Twelve no devido tempo.”
