A Cisco Talos revelou uma nova ameaça no cenário do crime cibernético: o corretor de acesso inicial conhecido como ToyMaker. Esse agente vende sistemas comprometidos para operadores de ransomware, em especial para o grupo CACTUS.
Leia também
Em horas, IA gera exploit usando descrição de CVE
Holanda alerta para ataques russos à Europa
ToyMaker utiliza o malware LAGTOY, também chamado de HOLERUN, para criar shells reversos e executar comandos em dispositivos infectados. Segundo a Mandiant, que detectou as primeiras atividades do grupo em março de 2023, o ToyMaker está associado ao grupo UNC961, também conhecido como Gold Melody ou Prophet Spider.
Os ataques exploram diversas vulnerabilidades conhecidas em aplicações expostas na internet. Após obter o acesso inicial, o invasor estuda a infraestrutura da vítima, coleta credenciais e implanta o LAGTOY em até uma semana. Durante a intrusão, o ToyMaker também usa o Magnet RAM Capture, baixado via SSH, para extrair informações da memória RAM e obter credenciais sensíveis.
O LAGTOY se comunica com servidores de comando e controle codificados, processando três comandos em intervalos de 11 segundos. Isso permite que o invasor mantenha um controle eficaz sobre as redes comprometidas.
Após a coleta de credenciais, ToyMaker deixa o ambiente e, cerca de três semanas depois, operadores do CACTUS utilizam os dados roubados para invadir a rede corporativa, indicando que o objetivo do corretor é puramente financeiro. Uma vez dentro, o CACTUS expande seu acesso usando ferramentas legítimas como OpenSSH, AnyDesk e eHorus Agent, preparando o ambiente para ações de ransomware.
