Um grupo de ransomware conhecido por ter como alvo organizações do setor de saúde e educação mudou várias vezes de nome no ano passado para evitar a detecção, de acordo com Mandiant.
Segundo a empresa de empresa de inteligência em ameaças, o grupo “54BB47h” (Sabbath) apareceu pela primeira vez no radar em setembro, quando fez propaganda de parceiros afiliados. O grupo de ransomware fornece a esses afiliados suas próprias cargas de backdoor Cobalt Strike Beacon pré-configuradas.
Embora isso representasse um desafio para os esforços de atribuição da Mandiant, também ofereceu um ponto de partida para sua investigação. “A Mandiant Advanced Practices começou a identificar de forma proativa uma infraestrutura Beacon semelhante em compromissos anteriores da Mandiant Consulting, programas de descoberta de adversários externos de Advanced Practices e repositórios de malware disponíveis comercialmente”, explica a empresa em seu relatório.
Ainda segundo a empresa, por meio dessa análise, as práticas avançadas vincularam o novo grupo do sábado à atividade de resgate sob nomes usados anteriormente, incluindo Arcane e Eruption.”
Uma investigação posterior revelou que o blog de divulgação pública/extorsão do Sabbath era virtualmente idêntico a um associado ao Arcane, com os mesmos erros gramaticais. Amostras e infraestrutura do afiliado Beacon também permaneceram inalteradas após a reformulação da marca.
Veja isso
Combate a ransomware sufocará finanças do crime
Gangues de hackers passam a oferecer leasing de ransomware
Sabbath, Arcane e Eruption foram rastreados até o grupo de ameaças UNC2190, que “usa um modelo de extorsão multifacetado onde a implantação de ransomware pode ser bastante limitada em escopo, dados em massa são roubados como vantagem e o agente da ameaça tenta ativamente destruir backups”.
No passado, o grupo até mandou e-mails para funcionários, alunos e pais de um distrito escolar nos EUA que visava a fim de forçar um pagamento.
Curiosamente, entre os idiomas do sistema que o código verifica para evitar a infecção de vítimas de certos países não estão apenas os de países da ex-União Soviética, mas também o sueco, o tailandês, o turco, o urdu, o indonésio, o vietnamita e o iídiche. Isso indica que os operadores de ransomware estão indo a extremos para evitar a atenção indesejada da polícia.
“O UNC2190 continuou a operar no ano passado, fazendo apenas pequenas alterações em suas estratégias e ferramentas, incluindo a introdução de um empacotador comercial e a reformulação de sua oferta de serviço”, diz a Mandiant. “Isso destaca como ferramentas conhecidas, como o Beacon, podem levar a incidentes impactantes e lucrativos, mesmo quando aproveitadas por grupos menos conhecidos.”