Um novo grupo de extorsão de dados chamado Helix está usando táticas focadas em identidade, como phishing por voz (vishing), phishing com código de dispositivo e abuso de autenticação multifator (MFA) para roubar dados de ambientes SharePoint. O contato inicial é feito via vishing, com o invasor ligando para funcionários se passando por seus gerentes, usando o nome do superior ou falsificação de identificador de chamadas para parecer legítimo, com o objetivo de induzir a vítima a esquemas de phishing com código de dispositivo para obter acesso às suas contas.
Uma vez dentro, os operadores do Helix registram rapidamente um novo aplicativo autenticador multifator para persistência, navegam e enumeram o SharePoint e exfiltram arquivos. De acordo com pesquisadores da empresa de cibersegurança ReliaQuest, os dados roubados são normalmente usados para extorquir organizações vítimas, ameaçando publicá-los a menos que um resgate seja pago, ou são vendidos para outros cibercriminosos.
O comportamento de exfiltração do SharePoint é a principal impressão digital técnica do Helix. “A enumeração e coleta automatizadas foram idênticas entre os incidentes e representam a impressão digital mais confiável. A enumeração foi executada a partir de 179.43.185[.]230 usando o user-agent python-requests/2.28.1”, observam os pesquisadores. “O operador emitiu pesquisas no SharePoint com contentclass:STS_Site e curinga (*) para inventariar todo o conteúdo acessível e, em seguida, fez o download em massa do mesmo IP e user-agent.”
Possíveis conexões com ShinyHunters e BlackFile
A ReliaQuest acredita que o Helix surgiu dos grupos de extorsão de dados ShinyHunters e BlackFile, com base nas técnicas e infraestrutura usadas, embora os pesquisadores não tenham encontrado uma conexão definitiva. No último mês, a Medtronic, Nissan, NAIC, Kodak, Infinite Campus e Nottingham University confirmaram violações de dados anteriormente reivindicadas pelo ShinyHunters.
O extinto grupo BlackFile, que visava organizações usando ataques baseados em identidade e engenharia social, cessou as operações em abril. A pesquisa da ReliaQuest descobriu que um ataque do Helix usou um endereço IP de exfiltração no mesmo sistema autônomo (AS 51852) que hospedava um endereço IP confirmado do BlackFile, sugerindo recursos compartilhados. Além disso, o surgimento do Helix pouco após o encerramento do BlackFile pode indicar uma continuação potencial da operação extinta. A ReliaQuest também menciona Pink e Redact como possíveis sucessores.
Quanto à ligação com o ShinyHunters, o Helix demonstra um manual de engenharia social muito semelhante, incluindo vishing, impersonificação de funcionários, visando o Microsoft 365 e roubando dados do SharePoint. Uma segunda pista é o uso do registrador NICENIC, também visto em campanhas anteriores do ShinyHunters.
Recomendações de defesa
Como medida defensiva de maior impacto contra ataques do Helix, os pesquisadores recomendam que a autenticação com código de dispositivo seja desabilitada onde possível. Outras recomendações incluem restringir o acesso ao SharePoint apenas a dispositivos gerenciados e bloquear trocas com domínios recém-registrados, que o Helix normalmente usa em seus ataques.






