Geral 3min de Leitura - 29 de outubro de 2020

O cibercrime se transforma

Homem encapuzado digitando em notebook.

This post is also available in: Português

Ryuk Ransomware, um dos mais perigosos, foi flagrado usando usando uma ferramenta de Malware-as-a-Service – driblando grande parte dos sistemas de defesa.

“Nada é permanente, a não ser a mudança”. A frase de Heráclito ganha um novo exemplo séculos depois – em algo que o famoso filósofo obviamente jamais imaginou: segurança digital. Diz respeito ao ransomware Ryuk, que voltou à ativa após meses inerte.

E voltou diferente. Seus operadores estão cada vez mais confiando em uma ferramenta de malware como serviço – o loader Buer – para entregar o malware. Assim, não têm mais usado botnets como Trickbot e Emotet, de acordo com uma empresa de segurança.

Buer é uma ferramenta de malware como serviço que fornece um compromisso inicial dos dispositivos Windows de destino. “Dessa maneira, permite que os agentes da ameaça estabeleçam uma base digital dentro de uma rede”, detalha Sean Gallagher, analista sênior de ameaças, – lembrando que o Buer já estava vinculado a ataques de Trojan bancários e outras implantações de malware.

O Retorno do Ryuk

Depois de um período “sumido”, que começou em março, a atividade de Ryuk aumentou desde o final do terceiro trimestre, diz Bill Siegel, diretor da multinacional Coveware. Isso inclui um ataque confirmado contra a empresa francesa de serviços de TI Sopra Steria no início de outubro.

Por anos, as mentes por trás do Ryuk usaram os botnets Emotet e Trickbot para entregar o malware de bloqueio de criptografia. Alguns analistas de segurança, no entanto, notaram que os cibercriminosos podem ter começado a procurar alternativas ao Trickbot depois que a Microsoft lançou uma campanha para desmontar sua infraestrutura no início deste mês.

“Está claro que Ryuk está de volta e que os agentes por trás dele estão evoluindo seus métodos, usando vários carregadores de bots para obter o acesso”, diz Gallagher. “Não está claro se o mesmo agente está por trás de todos esses ataques, usando várias plataformas de malware como serviço para entregar o Ryuk, ou se há várias unidades do Ryuk”, complementa.

Um marginal

O Buer, que foi anunciado pela primeira vez em fóruns clandestinos como o Modular Buer Loader, foi descrito por seus desenvolvedores como um bot modular escrito na linguagem de programação C. Ele também inclui um servidor de comando e controle escrito na linguagem .NET, que os cibercriminosos também podem acessar.

Os desenvolvedores do Buer anunciaram que o carregador de malware estava para aluguel por uma taxa fixa de US$ 350, que incluía personalização e acesso ao endereço IP dos servidores de comando e controle. Por US$ 25 extras, os cibercriminosos podem alterar o endereço IP para atender às suas necessidades específicas.

“O comando e controle pode ser usado para rastrear o número de downloads bem-sucedidos em uma campanha e para atribuir tarefas aos bots por filtros como o país em que estão, a ‘densidade do sistema operacional’ (32 ou 64 bits), o número de processadores na máquina infectada e o nível de permissões obtidas pelo bot “, diz Gallagher.

Encontrando rastros

Uma equipe de segurança descobriu uma amostra de Buer durante um ataque de ransomware Ryuk em setembro. O carregador foi escondido dentro de um Google Doc enviado por um e-mail de phishing para uma vítima em potencial, de acordo com o relatório.

“O documento exigia que a vítima habilitasse o conteúdo com script para ser ativado – um comportamento semelhante ao Emotet e outros ataques de carga por meio de e-mails de spam mal-intencionados, mas aproveitando o armazenamento em nuvem para tornar a análise forense mais difícil”.

A variante do Buer recuperada do ataque de setembro usa um certificado agora revogado para ajudar a contornar os controles de segurança. O carregador também verifica a presença de um depurador para driblar a segurança e verifica o dispositivo em busca de configurações de idioma e localização para determinar a região geográfica do dispositivo de destino.

O Buer também implanta vários comandos do PowerShell que alteram as configurações do Windows, incluindo a lista de exclusão do Windows Defender. Isso permite que o carregador ignore os controles de segurança adicionais, passando despercebido.

Assim que essas verificações são feitas, o Buer é depositado aos poucos na memória do dispositivo e executa o carregador. Depois que esse processo for concluído, o carregador tenta baixar o ransomware Ryuk.

Gallagher observa que Buer e Ryuk compartilham parte do mesmo shellcode, mas não está claro se isso significa que os dois foram desenvolvidos em conjunto pelos mesmos operadores.

“Isso pode não ser uma indicação de autoria compartilhada; os desenvolvedores podem simplesmente ter usado o mesmo código de amostra como sua fonte”, detalha. Seja qual for o caso, é um ransomware perigoso que volta à tona, em uma versão ainda mais nefasta.

This post is also available in: Português