Compartilhar
À medida que os ataques de ransomware contra infraestruturas críticas disparam, uma nova pesquisa mostra que os agentes de ameaças por trás dessas interrupções estão cada vez mais mudando do uso de mensagens de email como uma rota de intrusão para a compra de acesso de empresas cibercriminosas que já se infiltraram nos principais alvos.
“Operadores de ransomware frequentemente compram acesso de grupos cibercriminosos independentes que se infiltram em alvos importantes e então vendem acesso aos agentes de ransomware por uma parte dos ganhos ilícitos”, disseram pesquisadores da Proofpoint em um artigo compartilhado com The Hacker News.
"Os grupos de ameaças cibercriminosas que já distribuem malware bancário ou outros cavalos de Tróia também podem se tornar parte de uma rede afiliada de ransomware."
Além de buscar uma parte dos lucros ilegais, a empresa de segurança de e-mail e nuvem disse que atualmente está rastreando pelo menos 10 agentes de ameaças diferentes que desempenham o papel de "facilitadores de acesso inicial" para fornecer aos afiliados e outros grupos do crime cibernético um ponto de entrada para implantar roubo de dados e operações de criptografia.
Corretores de acesso inicial são conhecidos por se infiltrarem nas redes por meio de cargas úteis de malware de primeiro estágio, como The Trick, Dridex, Qbot, IcedID, BazaLoader ou Buer Loader, com a maioria das campanhas detectadas na primeira metade de 2021 aproveitando trojans bancários como carregadores de ransomware.
Os corretores - que foram identificados pelo rastreamento do acesso backdoor anunciado em fóruns de hacking - incluem TA800, TA577, TA569 , TA551 (Shathak), TA570 , TA547 , TA544 (Bamboo Spider), TA571, TA574 e TA575 , com sobreposições observadas entre vários agentes de ameaças, malware e implantações de ransomware.
Por exemplo, TA577 e TA551 foram encontrados para usar IcedID como uma carga de acesso inicial para entregar ransomware Egregor, Maze e REvil, enquanto TA800 empregou BazaLoader para implantar Ryuk em sistemas direcionados.
Em uma cadeia de ataque hipotética, um ator de ameaça poderia enviar um e-mail com um documento do Office infectado por malware, que, quando aberto, descarta a carga útil do primeiro estágio para manter o acesso backdoor persistente. Esse acesso pode então ser vendido a um segundo ator de ameaça, que o explora para implantar um sinalizador Cobalt Strike para girar lateralmente na rede mais ampla e implantar o ransomware.
Dito isso, os ataques que dependem de mensagens de e-mail para distribuir diretamente ransomware na forma de anexos maliciosos ou hiperlinks embutidos continuam sendo uma ameaça, embora em volumes menores. A Proofpoint observou que identificou 54 campanhas de ransomware distribuindo um pouco mais de um milhão de mensagens no ano passado.
“Curtos tempos de permanência, altos pagamentos e colaboração entre ecossistemas cibercriminosos levaram a uma tempestade perfeita de crimes cibernéticos que os governos do mundo estão levando a sério”, concluíram os pesquisadores. "É possível com novos esforços disruptivos focados na ameaça e investimentos crescentes em defesa cibernética em cadeias de abastecimento, os ataques de ransomware diminuirão em frequência e eficácia."
Fonte: thehackernews.com