O grupo de hackers iraniano Agrius APT está usando um novo limpador de dados chamado Fantasy em ataques à cadeia de suprimentos que afetam organizações em Israel, Hong Kong e África do Sul. A campanha começou em fevereiro e se desenrolou em grande escala em março, atacando uma empresa de serviços de suporte de TI, um atacadista de diamantes, uma joalheria e uma empresa de consultoria de RH.
Nessa campanha, o Agrius usou o Fantasy escondido dentro de um pacote de software criado por um fornecedor israelense. Este software é comumente usado na indústria de diamantes. De acordo com os analistas da ESET, o Fantasy é uma evolução do limpador Apostle, que o agente da ameaça usou em campanhas anteriores.
Wipers são uma categoria de malware com o objetivo de excluir dados em computadores violados, causando destruição digital e interrupção de negócios.
O Agrius APT (ameaça persistente avançada) invadiu uma organização sul-africana na indústria de diamantes em 20 de fevereiro, lançando coletores de credenciais como MiniDump e SecretsDump em sua rede para roubar credenciais de contas. Os hackers aproveitaram as credenciais roubadas para se espalhar ainda mais pela rede violada, presumivelmente coletando informações e obtendo acesso a outros sistemas.
Em 12 de março, o grupo implantou o Host2IP e uma nova ferramenta chamada Sandals para espalhar o limpador Fantasy em dispositivos acessíveis. Sandals é um executável do Windows que se conecta a sistemas na mesma rede via SMB e grava um arquivo em lote executado via PsExec para iniciar o limpador Fantasy. No mesmo dia de março, e em um período de duas horas e meia, os hackers implantaram todas as quatro ferramentas mencionadas contra alvos israelenses e uma empresa em Hong Kong.
Todas as empresas atacadas eram clientes do desenvolvedor de software afetado, que, de acordo com a ESET, percebeu o problema imediatamente e enviou atualizações limpas em poucas horas.
Veja isso
Ataque a observatório no Chile coloca foco na segurança espacial
Copa do Mundo no Catar deve aumentar riscos à cibersegurança
O limpador de dados do Fantasy é um executável do Windows de 32 bits (‘fantasy45.exe’ e ‘fantasy35.exe’). Após a execução, ele obtém uma lista de todas as unidades e seus diretórios, exceto a pasta do Windows, que é ignorada, e todos os arquivos em cada diretório. Ele substitui o conteúdo de cada arquivo com dados aleatórios, define os carimbos de data/hora para meia-noite de 2037 e os exclui.
Esse processo tenta impedir que os arquivos sejam recuperados com ferramentas de recuperação de dados. Em seguida, o Fantasy exclui as chaves do registro no HKCR, limpa todos os WinEventLogs, exclui a pasta SystemDrive do Windows e entra em um modo de suspensão de dois minutos. Por fim, o limpador substitui o registro mestre de inicialização, exclui a si mesmo e reinicializa o sistema após outro atraso de 30 segundos.
No entanto, mesmo que esses ataques tenham sido destrutivos, a ESET diz que as vítimas podem voltar a funcionar em horas. “É provável que a recuperação de %SYSTEMDRIVE% seja possível. Observou-se que as vítimas voltaram a funcionar em questão de horas”, explica a fornecedora de soluções de segurança.
A ESET comenta que, embora haja uma extensa sobreposição de código entre o Apostle e o Fantasy, este último é puramente um limpador, sem nenhum recurso de criptografia de dados e não cria notas de resgate. Com agências de notícias internacionais e informações da ESET.