Grupo Lazarus experimenta com novo ransomware

O grupo de cibercrime Lazarus usa técnicas tradicionais de APT para espalhar o ransomware VHD.

O grupo Lazarus sempre se destacou por usar métodos típicos de ataques do APT, mas especializado em crimes cibernéticos financeiros. Recentemente, nossos especialistas detectaram novos malwares VHD anteriormente inexplorados, com os quais o Lazarus parece estar fazendo experimentos.

Funcionalmente, o VHD é um ransomware bastante padrão. Ele percorre as unidades conectadas ao computador da vítima, criptografa arquivos e exclui todas as pastas Informações do Volume do Sistema (sabotando assim as tentativas de Restauração do Sistema no Windows). Além disso, ele pode suspender processos que podem proteger arquivos importantes contra modificações (como Microsoft Exchange ou SQL Server).

Mas o que é realmente interessante é como o VHD chega aos computadores de destino, porque seus mecanismos de entrega têm mais em comum com os ataques APT. Nossos especialistas investigaram recentemente alguns casos de VHD, analisando as ações dos criminosos em cada um.

Movimento lateral através na rede da vítima

No primeiro incidente, a atenção de nossos especialistas foi atraída para o código malicioso responsável por espalhar o VHD pela rede de destino. Verificou-se que o ransomware tinha à disposição listas de endereços IP dos computadores da vítima, além de credenciais para contas com direitos de administrador. Ele usou esses dados para ataques de força bruta no serviço SMB. Se o malware conseguiu se conectar usando o protocolo SMB à pasta de rede de outro computador, ele se copiou e se executou, criptografando a máquina também.

Esse comportamento não é muito típico de ransomware em massa. Isso sugere pelo menos um reconhecimento preliminar da infraestrutura da vítima, mais característico das campanhas APT.

Cadeia de infecção

Na próxima vez em que nossa Equipe Global de Resposta de Emergência encontrou esse ransomware durante uma investigação, os pesquisadores conseguiram rastrear toda a cadeia de infecção. De acordo com o que descobriram, os cibercriminosos fizeram o seguinte:

  1. Obtiveram acesso aos sistemas das vítimas explorando um gateway VPN vulnerável;
  2. Obtiveram direitos de administrador nas máquinas comprometidas;
  3. Instalaram um backdoor;
  4. Assumiram o controle do servidor do Active Directory;
  5. Infectaram todos os computadores na rede com o ransomware VHD usando um carregador especialmente escrito para a tarefa.

Uma análise mais aprofundada das ferramentas empregadas mostrou que o backdoor faz parte da estrutura MATA multiplataforma (que alguns de nossos colegas chamam de Dacls). Concluímos ser outra ferramenta do Lazarus.

Você encontrará uma análise técnica detalhada dessas ferramentas, juntamente com indicadores de comprometimento, no Securelist.

Como proteger sua empresa

Os atores do ransomware VHD estão claramente acima da média quando se trata de infectar computadores corporativos com um criptor. O malware geralmente não está disponível nos fóruns de hackers; pelo contrário, foi desenvolvido especificamente para ataques direcionados. As técnicas usadas para penetrar na infraestrutura da vítima e se propagar na rede lembram ataques sofisticados de APT.

Esse apagamento gradual das fronteiras entre ferramentas financeiras de cibercrime e ataques de APT é a prova de que empresas ainda menores precisam considerar o uso de tecnologias de segurança mais avançadas. Com isso em mente, lançamos recentemente uma solução integrada com a funcionalidade Endpoint Protection Platform (EPP) e Endpoint Detection and Response (EDR). Você pode descobrir mais sobre esta solução nesta página .

Dicas