Ransomware-1.jpg

Ransomware muda sempre de nome para fugir da detecção

Grupo conhecido por ter como alvo organizações do setor de saúde e educação mudou várias vezes de nome no ano passado para evitar rastreamento da polícia
Da Redação
30/11/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Um grupo de ransomware conhecido por ter como alvo organizações do setor de saúde e educação mudou várias vezes de nome no ano passado para evitar a detecção, de acordo com Mandiant.

Segundo a empresa de empresa de inteligência em ameaças, o grupo “54BB47h” (Sabbath) apareceu pela primeira vez no radar em setembro, quando fez propaganda de parceiros afiliados. O grupo de ransomware fornece a esses afiliados suas próprias cargas de backdoor Cobalt Strike Beacon pré-configuradas.

Embora isso representasse um desafio para os esforços de atribuição da Mandiant, também ofereceu um ponto de partida para sua investigação. “A Mandiant Advanced Practices começou a identificar de forma proativa uma infraestrutura Beacon semelhante em compromissos anteriores da Mandiant Consulting, programas de descoberta de adversários externos de Advanced Practices e repositórios de malware disponíveis comercialmente”, explica a empresa em seu relatório.

Ainda segundo a empresa, por meio dessa análise, as práticas avançadas vincularam o novo grupo do sábado à atividade de resgate sob nomes usados ​​anteriormente, incluindo Arcane e Eruption.”

Uma investigação posterior revelou que o blog de divulgação pública/extorsão do Sabbath era virtualmente idêntico a um associado ao Arcane, com os mesmos erros gramaticais. Amostras e infraestrutura do afiliado Beacon também permaneceram inalteradas após a reformulação da marca.

Veja isso
Combate a ransomware sufocará finanças do crime
Gangues de hackers passam a oferecer leasing de ransomware

Sabbath, Arcane e Eruption foram rastreados até o grupo de ameaças UNC2190, que “usa um modelo de extorsão multifacetado onde a implantação de ransomware pode ser bastante limitada em escopo, dados em massa são roubados como vantagem e o agente da ameaça tenta ativamente destruir backups”.

No passado, o grupo até mandou e-mails para funcionários, alunos e pais de um distrito escolar nos EUA que visava a fim de forçar um pagamento.

Curiosamente, entre os idiomas do sistema que o código verifica para evitar a infecção de vítimas de certos países não estão apenas os de países da ex-União Soviética, mas também o sueco, o tailandês, o turco, o urdu, o indonésio, o vietnamita e o iídiche. Isso indica que os operadores de ransomware estão indo a extremos para evitar a atenção indesejada da polícia.

“O UNC2190 continuou a operar no ano passado, fazendo apenas pequenas alterações em suas estratégias e ferramentas, incluindo a introdução de um empacotador comercial e a reformulação de sua oferta de serviço”, diz a Mandiant. “Isso destaca como ferramentas conhecidas, como o Beacon, podem levar a incidentes impactantes e lucrativos, mesmo quando aproveitadas por grupos menos conhecidos.”

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)