O kit RIG Exploit está passando por seu período de maior atividade, segundo relatório da empresa de inteligência de ameaças cibernéticas Prodaft. A empresa constatou cerca de 2 mil tentativas de intrusão por dia, sendo que os invasores obtiveram sucesso em cerca de 30% dos casos, a maior proporção na história operacional do serviço da companhia.
Ao explorar vulnerabilidades relativamente antigas do Internet Explorer (IE), o RIG EK foi detectado distribuindo várias famílias de malware, incluindo o Dridex, SmokeLoader e o RaccoonStealer. De acordo com os pesquisadores da Prodaft, os hackers obtiveram acesso ao painel da web de backend do navegador da Microsoft.
O RIG EK foi detectado pela primeira vez há oito anos, em 2014, e promovido como um “exploit-as-a-service” alugado a outros operadores de malware para espalhar seu malware em dispositivos vulneráveis. O kit de exploração RIG é um conjunto de scripts JavaScript maliciosos incorporados em sites comprometidos por operadores da ameaça, que são então promovidos por meio de publicidade maliciosa. Quando um usuário visita esses sites, os scripts maliciosos são executados e tentam explorar várias vulnerabilidades no navegador para instalar malware no dispositivo automaticamente.
Em 2015, os operadores do kit lançaram a segunda versão, preparando o terreno para ações mais extensas e bem-sucedidas. Em 2017, porém, a RIG sofreu um golpe significativo após uma ação coordenada de remoção que destruiu grande parte de sua infraestrutura, interrompendo gravemente suas operações. Entretanto, em 2019, o RIG voltou, desta vez com foco na distribuição de ransomware, ajudando os grupos Sodinokibi (REvil), Nemty e ERIS a comprometer organizações com cargas úteis de criptografia de dados.
Em 2021,os operadores do RIG anunciaram que o serviço seria encerrado. No entanto, o RIG 2.0 retornou em 2022 com dois novos exploits — CVE-2020-0674 e CVE-2021-26411 no Internet Explorer —, atingindo uma alta taxa de violação bem-sucedida de todos os tempos.
Em abril de 2022, a Bitdefender relatou que o RIG estava sendo usado para lançar o malware ladrão de informações Redline nas vítimas. Embora muitas das explorações visadas pelo RIG EK sejam para o Internet Explorer, que o Microsoft Edge substituiu há muito tempo, o navegador ainda é usado em milhões de dispositivos corporativos, que são o alvo principal.
Volumes de ataque atuais
A Prodaft diz que o RIG EK atualmente tem como alvo 207 países, lançando uma média de 2 mil ataques por dia e tendo uma taxa de sucesso atual de 30%. Essa taxa era de 22% antes de o exploit kit ressurgir com dois novos exploits, diz a empresa.
Como mostra o mapa de calor publicado no relatório, os países mais afetados são Alemanha, Itália, França, Rússia, Turquia, Arábia Saudita, Egito, Argélia, México e Brasil. No entanto, existem vítimas em todo o mundo.
A maior taxa de sucesso é obtida pelo CVE-2021-26411, alcançando uma taxa de exploração bem-sucedida de 45%, seguido pelo CVE-2016-0189 com 29% e CVE-2019-0752 com 10%. O CVE-2021-26411 é uma falha de corrupção de memória de alta gravidade no Internet Explorer que a Microsoft corrigiu em março de 2021, desencadeada pela visualização de um site criado com códigos maliciosos. As vulnerabilidades CVE-2016-0189 e CVE-2019-0752 também estão no Internet Explorer, permitindo a execução remota de código no navegador.
A CISA publicou um alerta de exploração ativa para o CVE-2019-0752 em fevereiro de 2022, alertando os administradores de sistema de que a vulnerabilidade ainda está sendo explorada e para aplicar as atualizações de segurança disponíveis.
Uma variedade de cargas maliciosas
Atualmente, o RIG EK promove principalmente o roubo de informações e o malware de acesso inicial, sendo o Dridex o mais comum (34%), seguido pelo SmokeLoader (26%), RaccoonStealer (20%), Zloader (2,5%), Truebot (1,8%) , e IcedID (1,4%). Obviamente, os tipos de malware espalhados pelo RIG EK mudam constantemente, dependendo de quais cibercriminosos optam por usar o serviço.
Veja isso
Brecha crítica de RCE no Internet Explorer abre portas a invasores
Furo em todas as versões do MS Explorer
A Prodaft também observou anteriormente a distribuição de Redline, RecordBreaker, PureCrypter, Gozi, Royal Ransomware e UrSnif.
A distribuição do trojan bancário Dridex é particularmente interessante porque há sinais de que os operadores do RIG tomaram medidas para garantir que sua distribuição seja livre de problemas. “O administrador do RIG tomou medidas adicionais de configuração manual para garantir que o malware fosse distribuído sem problemas”, explica Prodaft no relatório. “Considerando todos esses fatos, avaliamos com alta confiança que o desenvolvedor do malware Dridex tem um relacionamento próximo com os administradores do RIG.”
Deve-se observar que o Dridex estava vinculado a ataques de ransomware Entropy há um ano, portanto, as violações do RIG EK podem levar a incidentes de criptografia de dados.
Apesar da intensa atividade do RIG EK, o foco no Internet Explorer pode fazer com que o kit se torne obsoleto logo, pois a Microsoft finalmente retirou o Internet Explorer em fevereiro de 2023, redirecionando os usuários para o Microsoft Edge.