O Quantum ransomware, cepa descoberta pela primeira vez em agosto do ano passado, foi detectado realizando ataques rápidos em proporção crescente, deixando as vítimas com pouco tempo para reagir. Os operadores da ameaça estão usando o malware IcedID como um de seus vetores de acesso inicial, que implanta o Cobalt Strike para acesso remoto e leva ao roubo e criptografia de dados usando o Quantum Locker.
Os detalhes técnicos do ataque do ransomware foram analisados por pesquisadores de segurança do The DFIR Report, que afirmam que o ataque durou apenas 3 horas e 44 minutos desde a infecção inicial até a conclusão dos dispositivos de criptografia.
O ataque detectado usou o malware IcedID como o acesso inicial à máquina da vítima, que os pesquisadores acreditam ter chegado por meio de um e-mail de phishing contendo um anexo de arquivo ISO. O IcedID é um trojan bancário modular usado principalmente para implantar carga útil de segundo estágio, carregadores e ransomware. A combinação de arquivos IcedID e ISO tem sido usada em outros ataques recentemente, pois esses arquivos são excelentes para passar por controles de segurança de e-mail.
Duas horas após a infecção inicial, os operadores da ameaça injetam o Cobalt Strike para evitar a detecção. Nessa fase, os invasores roubaram credenciais de domínio do Windows despejando a memória do LSASS (Local Security Authority Subsystem), o que permitiu que se espalhassem lateralmente pela rede. O LSASS, ou serviço de subsistema da autoridade de segurança local, em português, é um processo no Windows responsável pela segurança do sistema operacional.
Veja isso
Cibercriminosos usam trojan IcedID em ataques que exploram o tema covid-19
Servidores Microsoft SQL estão vulneráveis ao Cobalt Strike
Segundo os pesquisadores de segurança do The DFIR Report, o fato de ter levado menos de quatro horas para invasão é algo bastante rápido, e como esse tipo de ataque ocorre geralmente tarde da noite ou em fins de semana, ele não fornece uma grande janela para os administradores de rede e segurança detectarem e responderem ao ataque.
Para obter mais detalhes sobre os TTPs usados pelo Quantum Locker, o Relatório DFIR forneceu uma extensa lista de indicadores de comprometimento, bem como endereços de comando e controle (C&C) aos quais o IcedID e o Cobalt Strike se conectaram para comunicação.
Quem opera o Quantum Locker?
O ransomware Quantum Locker é uma nova denominação da operação de ransomware MountLocker, lançada em setembro de 2020. Desde então, a gangue do ransomware renomeou sua operação para vários nomes, incluindo AstroLocker, XingLocker e agora em sua fase atual, Quantum Locker.
A mudança de nome ocorreu em agosto do ano passado, quando o criptografador de ransomware começou a anexar a extensão de arquivo .quantum a nomes de arquivos criptografados e descartar notas de resgate chamadas README_TO_DECRYPT.html.
Essas notas incluem um link para um site de negociação de resgate do Tor e um ID exclusivo associado à vítima. As notas de resgate também afirmam que os dados foram roubados durante o ataque, que os invasores ameaçam publicar se o resgate não for pago.
Embora o Relatório DFIR afirme que eles não viram nenhuma atividade de exfiltração de dados no ataque que analisaram, a BleepingComputer confirmou no passado que eles roubam dados durante os ataques e os vazam em esquemas de extorsão dupla.As demandas de resgate feitas por essa gangue variam de acordo com a vítima, com alguns ataques exigindo US$ 150 mil para que a vítima possa receber um decodificador.
