Home  >  Segurança

Pesquisadores rastreiam afiliados do serviço de ransomware DarkSide após ataques à Colonial Pipeline

Os clientes do RaaS podem implantar malware da maneira que acharem adequado e ditar o conteúdo dos vazamentos

Redação

13/05/2021 às 19h00

Foto:

Pesquisadores da FireEye documentaram, na última terça-feira (11), cinco grupos separados de atividades suspeitas de estarem conectados ao DarkSide, a rede Ransomware-as-a-Service (RaaS) responsável pelo incidente de segurança do Pipeline Colonial, de acordo com informações do site ZDNet.

A Colonial Pipeline é uma das maiores operadoras de dutos de combustível e empresas de entrega nos Estados Unidos. Depois de sofrer um surto de ataques de ransomware na semana passada, a empresa ainda tenta restabelecer as funções afetadas e restaurar as operações até o final da semana. Os ataques resultaram no fechamento de dutos e na escassez de combustível no país.

Nesta quinta-feira (13), em nota, a empresa alegou ter retomado o abastecimento na maioria dos postos de abastecimento. "Colonial Pipeline fez um progresso substancial no retorno às operações da rede de dutos e podemos dizer que a entrega do produto começou na maioria dos mercados que atendemos", afirmou a organização.

O ataque foi considerado sério o suficiente para envolver o FBI, devido à interferência em um ativo de infraestrutura crítica (CI). O gasoduto afetado é responsável por transportar 45% do suprimento de diesel, gasolina e combustível de aviação da Costa Leste dos Estados Unidos. O ataque está sendo considerado um dos mais significativos à infraestrutura nacional crítica da história do país, segundo a BBC News.

A equipe de hackers que se responsabilizou pelo ataque, denominada DarkSide, alegou em comunicado público que o ataque à Colonial Pipeline foi “apolítico”. "Nosso objetivo é ganhar dinheiro e não criar problemas para a sociedade", escreveu o grupo em seu site.

Os EUA chegaram a emitir uma legislação de emergência no domingo depois que a empresa foi atingida.

Investigação de cibersegurança

Até agora, a FireEye rastreou cinco atores de ameaças que são afiliados do DarkSide RaaS, atuais ou antigos. Com base em anúncios de fórum, os operadores RaaS cobram 25% de taxa para resgates inferiores a US$ 500.000 e 10% para resgates superiores a US$ 5 milhões.

“As origens desses incidentes não são monolíticas. O ransomware DarkSide opera como um ransomware-as-a-service (RaaS), em que o lucro é compartilhado entre seus proprietários e parceiros, ou afiliados, que fornecem acesso a organizações e implantam o ransomware”, disseram os pesquisadores em postagem no blog da FireEye.

Segundo eles, a empresa de cibersegurança Mandiant rastreia vários grupos de ameaças que implantaram este ransomware, que é consistente com várias afiliadas que usam o DarkSide.

“Esses clusters demonstraram vários níveis de sofisticação
técnica durante as intrusões. Embora os atores da ameaça geralmente
dependam de ferramentas legítimas e disponíveis comercialmente para
facilitar os vários estágios de suas operações, pelo menos um dos grupos
de ameaças também empregou uma vulnerabilidade de dia zero agora
corrigida”, disse a FireEye.

Para ingressar no grupo de hackers, os interessados passam
por uma entrevista, que, se bem-sucedida, os levam a ter acesso a um
painel de controle para selecionar a compilação de seu ransomware,
gerenciar suas vítimas e entrar em contato com o suporte, de acordo com
os pesquisadores.

Eles também podem especificar quais informações roubadas no ataque cibernético podem ser publicadas no site principal de vazamento do DarkSide - tática conhecida como extorsão dupla, na qual as empresas que se recusam a pagar por uma chave de descriptografia são ameaçadas com o vazamento público de seus arquivos.

A FireEye descreveu as atividades atuais de três dos cinco grupos vinculados, conforme publicação no blog da empresa, rastreados como UNC2628, UNC2659 e UNC2465:

UNC2628

O UNC2628 está ativo desde, pelo menos, fevereiro de 2021. Suas intrusões progridem de forma relativamente rápida, com o ator da ameaça normalmente implantando o ransomware em dois a três dias. Temos algumas evidências que sugerem que UNC2628 fez parceria com outros RaaS, incluindo REvil e Netwalker, disseram os pesquisadores.

Em vários casos, os pesquisadores observaram tentativas de autenticação suspeitas contra a infraestrutura VPN corporativa da vítima imediatamente antes do início das operações de intrusão interativas. Os padrões de autenticação eram consistentes com um ataque de espalhamento de senha, eles disseram, embora as evidências forenses disponíveis fossem insuficientes para atribuir definitivamente essa atividade precursora ao UNC2628.

Nos casos em que havia evidências disponíveis, o ator da ameaça parecia obter acesso inicial por meio da infraestrutura VPN corporativa usando credenciais legítimas.

UNC2659

O segundo cluster, ativo desde pelo menos janeiro, passa do acesso inicial para a implantação do ransomware em uma média de 10 dias. De acordo com a postagem, o UNC2659 é notável devido ao uso de uma falha no produto SonicWall SMA100 SSL VPN, que já foi corrigido pela SonicWall. O ator da ameaça parecia baixar várias ferramentas usadas para várias fases do ciclo de vida do ataque diretamente dos sites públicos legítimos dessas ferramentas.

O ator da ameaça aproveitou o TeamViewer (TeamViewer_Setup.exe) para estabelecer a persistência no ambiente da vítima.

UNC2465

A atividade do UNC2465 data de pelo menos abril de 2019 e é caracterizada pelo uso de TTPs semelhantes para distribuir o backdoor do .NET baseado em PowerShell Smokedham em ambientes de vítima. Em um caso em que o DarkSide foi implantado, houve intervalos de meses, com apenas atividade intermitente entre o momento do comprometimento inicial para a implantação do ransomware. Em alguns casos, isso pode indicar que o acesso inicial foi fornecido por um ator separado.

UNC2465 usou e-mails de phishing e serviços legítimos para entregar o Smokedham, um backdoor .NET que suporta keylogging, captura de tela e execução de comandos .NET arbitrários. Durante um incidente, o agente da ameaça parecia estabelecer uma linha de comunicação com a vítima antes de enviar um link malicioso do Google Drive, entregando um arquivo contendo um downloader LNK. E-mails UNC2465 mais recentes usaram links do Dropbox com um arquivo ZIP contendo arquivos LNK maliciosos que, quando executados, levariam ao download do Smokedham no sistema.

Em notícias relacionadas, a Sophos, desenvolvedora de
software de segurança, foi chamada para ajudar em cinco instâncias
diferentes de infecção por ransomware DarkSide. A empresa relatou um
tempo médio de 45 dias entre o acesso inicial e a implantação do
ransomware.

"Acreditamos que os agentes de ameaças se tornaram mais proficientes na condução de operações multifacetadas de extorsão e que esse sucesso contribuiu diretamente para o rápido aumento do número de incidentes de ransomware de alto impacto nos últimos anos", comentou FireEye. "Esperamos que as táticas de extorsão que os agentes de ameaças usam para pressionar as vítimas continuem a evoluir ao longo de 2021", disseram os pesquisadores.

(Com informações de ZDNet)