Hackers usam o software de gerenciamento remoto para comprometer redes, roubar dados e instalar o ransomware Zeppelin em computadores
Criadores de ameaças estão utilizando o software de gerenciamento remoto ScreenConnect — agora chamado ConnectWise Control — para comprometer redes, roubar dados e instalar o ransomware Zeppelin em computadores.
O ConnectWise Control é um software de gerenciamento remoto usado comumente por provedores de serviços gerenciados (MSPs) e profissionais de TI para obter acesso a um computador remoto para fornecer suporte.
Para gerenciar remotamente uma estação de trabalho, os técnicos usam o software para criar agentes que serão instalados nos computadores que desejam gerenciar. Depois que o agente estiver em funcionamento, o computador aparecerá no site do ConnectWise Control.
Um novo relatório compartilhado com o site BleepingComputer, a empresa de software de segurança Morphisec explica como descobriram o ScreenConnect sendo usado por hackers para instalar o Zeppelin e outros malwares.
“O ransomware do Zeppelin foi entregue por meio do ScreenConnect, uma ferramenta de controle de estações de trabalho via web projetada para permitir que os administradores de TI gerenciem computadores remotamente e executem comandos no computador do usuário”, explica o relatório.
Os invasores comprometeram a rede de uma grande empresa imobiliária nos Estados Unidos e instalaram o módulo cliente do ScreenConnect em uma estação de trabalho comprometida. Uma vez instalado, o módulo cliente, chamado ScreenConnect.ClientService.exe, pode ser executado silenciosamente em segundo plano, enquanto aguardava uma conexão de gerenciamento remoto.
O hacker usou o ScreenConnect para executar uma variedade de comandos que filtram dados de sistemas de backup e baixam malware, ferramentas de pós-exploração e cavalos de Troia que roubam dados, a fim de comprometer ainda mais a rede.
Um comando descoberto pela Morphisec utiliza o PowerShell para baixar e executar uma variedade de programas no computador comprometido. Esses programas incluem o trojan Vidar para roubo de informações, o PS2EXE e o Cobalt Strike beacons.
O software Vidar é usado provavelmente para exfiltrar dados, roubar senhas e comprometer ainda mais outros computadores e servidores de rede. Após a fase de exfiltração de dados e comprometimento da rede, os hackers realizaram um ataque final ao instalar o Zeppelin.
Primeiro, foi executado um script CMD que prepara o computador para a instalação do ransomware. Isso é feito instalando um arquivo do registro que configura a chave de criptografia pública a ser usada pelo ransomware e, em seguida, tenta desativar o Windows Defender, desativando vários recursos de segurança.
Desabilitando o Windows Defender
Por fim, o invasor executou um comando do PowerShell que baixa um arquivo chamado oxfordnew.exe ou oxford.exe para a pasta C:\Windows\Temp e, em seguida, o executa. Esse arquivo é o Zeppelin.
O que torna esse caso específico interessante, segundo os pesquisadores de segurança da Morphisec, é que o invasor implantou o software de gerenciamento remoto ScreenConnect. Normalmente, quando os hackers realizam um ataque de ransomware utilizam um software MSP pirateado para infectar “clientes”do MSP.
Nesse caso específico, os autores da ameaça implantaram o ScreenConnect para garantir uma posição na rede e comprometer ainda mais outros pontos da extremidade.
O ataque também mostra uma tendência contínua e preocupante em que os criadores de ransomware estão roubando dados antes de executar uma criptografia final de ransomware.
Embora já se saiba há algum tempo que isso está ocorrendo, as variantes dos ransomwares Maze e REvil agora estão usando dados roubados como alavanca para conseguir que as vítimas paguem. À medida que isso se torna mais comum em ataques de ransomware, as empresas agora precisam tratar esses ataques como violações de dados, diz o relatório da Morphisec.
