A gangue subterrânea de ransomware tem coordenado ataques recorrentes a empresas em todo o mundo em um aumento preocupante dos riscos cibernéticos.
Eles demonstraram engenharia sofisticada de malware que combina técnicas de criptografia de ponta com medidas de penetração focadas.
Detectado pela primeira vez em julho de 2023, o grupo ressurgiu em maio de 2024 com um local de vazamento dedicado (DLS), onde expõe dados exfiltrados de vítimas que se recusam a pagar resgates.
Suas operações abrangem diversos setores, incluindo construção, fabricação, TI e design de interiores, afetando empresas em países como Estados Unidos, Emirados Árabes Unidos, França, Espanha, Austrália, Alemanha, Eslováquia, Taiwan, Cingapura, Canadá e Coréia do Sul.
As organizações de vítimas variam em escala, com receitas anuais que variam de US $ 20 milhões a US $ 650 milhões, ressaltando a abordagem indiscriminada da gangue para segmentar sem levar em consideração a geografia, a indústria ou o tamanho da empresa.
Essa ampla superfície de ataque destaca uma tendência global crescente na proliferação de ransomware, onde os atores de ameaças aproveitam cargas úteis personalizadas para maximizar o impacto e a evasão.
Sofisticação de malware
O ransomware subterrâneo emprega um esquema criptográfico híbrido que integra a geração de números aleatórios (RNG), a criptografia simétrica AES e a criptografia assimétrica RSA para tornar inacessíveis os arquivos sem a intervenção dos atacantes.
Cada arquivo é criptografado usando uma chave AES exclusiva, com metadados relacionados a chaves anexados ao final do arquivo, eliminando a necessidade de comunicações de comando e controle pós-Encripção (C2).
Esse design garante que os artefatos forenses locais por si só não possam facilitar a descriptografia, pois a chave pública da RSA é codificada no malware, enquanto a chave privada correspondente permanece sob o controle dos atacantes.
Os arquivos são categorizados por tamanho de arquivos pequenos sofrem criptografia completa, enquanto arquivos regulares e grandes utilizam um método de striping, criptografando porções seletivas na cabeça, cauda e lacunas intermitentes para otimizar o desempenho e minimizar a interrupção do sistema.
De acordo com a ASEC relatórioessa criptografia seletiva tem como alvo segmentos de dados de alto valor, reduzindo a sobrecarga computacional e infligindo danos operacionais máximos.
Antes da criptografia, o malware executa rotinas preparatórias, incluindo uma verificação de parâmetros que interrompe a execução se mais de dois argumentos forem fornecidos, seguidos pela criação de um mutex (“8DC1F7B9D2F4EA58”) para evitar instâncias concorrentes.
Em seguida, erradica as opções de recuperação, excluindo cópias de sombra do volume por meio do comando vssadmin e restringe as conexões remotas de desktop por meio de modificações no registro.
Serviços potencialmente interferindo na criptografia, como MSSQLServer, SQLServeragent e MsSqlfdlauncher, são interrompidos à força.
Para evitar a instabilidade do sistema, a criptografia exclui caminhos críticos resolvidos de variáveis de ambiente como % Systemroot % (C: Windows), % ProgramFiles % (C: Arquivos de Programas) e % ProgramFiles (x86) % (C: Arquivos de Programas (X86), e também como o asnsões, incluindo Sys, exe dll, dll, dll, programas (x86), e as alterações, incluindo sys, dll, dll, dll, dll, programs (x86), e as extensões, e a sys.
A seleção de arquivos prioriza os acessados, modificados ou criados nos últimos seis meses, calculados via getSystemTime () menos um deslocamento de meio ano, concentrando a criptografia nos dados ativos do usuário para aumentar a eficiência.
O processo de criptografia começa com a geração de um valor aleatório de 0x30 bytes usando APIs BCRYPT do BCrypt.dll, onde os bytes 0x20 inicial formam a chave AES e os bytes 0x10 restantes servem como vetor de inicialização (IV) no modo CBC.
Os arquivos são carregados na memória via readfile (), criptografados com bcryptencrypt (), e a chave AES Plus IV são então criptografados e anexados a RSA.
Os metadados, totalizando 0x18 bytes, incluem o tamanho original do arquivo, um conjunto de bandeiras ditando parâmetros de faixa, cabeça, cauda e lacuna, um gatilho de ramificação baseado em tamanho, indicador de versão e valor mágico.
Esses sinalizadores, sujeitos a mudanças bit-bit e cálculos de potência de 2, definem unidades e intervalos de criptografia, adaptando-se dinamicamente às categorias de arquivos para otimizado desempenho de ransomware.
Evasão pós-criptografia
Após a conclusão, o malware apaga traços gerando e executando um script _eraser.bat, que utiliza o wevtutil.exe para limpar todos os logs de eventos, complicando a resposta a incidentes.
A nota de resgate, incorporada a detalhes específicos da vítima, como endereços IP e referências de dados roubadas, oferece não apenas descriptografia, mas também serviços auxiliares, como avaliações de vulnerabilidade e consultas de segurança, acessíveis por meio de um portal de negociação baseado em Tor.
Isso indica reconhecimento de pré-execução, onde os invasores se infiltram em sistemas, reunem inteligência, selecionam alvos e implantam ransomware personalizado, evitando a distribuição de massa para ataques de precisão.
Para combater essas ameaças, as organizações devem implementar defesas robustas, incluindo backups externos isolados de redes de produção, controles rigorosos de acesso a repositórios e exercícios de recuperação de rotina.
Além da proteção básica dos dados, a integração de ferramentas de detecção e resposta de pontos de extremidade (EDR) e monitoramento para indicadores como alterações incomuns do registro ou paradas de serviço podem antecipar a escalada.
À medida que as táticas do Underground evoluem, a inteligência proativa de ameaças e a adesão a estruturas como o CVSS para a pontuação da vulnerabilidade permanecem críticas na mitigação dessas campanhas inovadoras de ransomware.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!