{"id":15827,"date":"2020-08-06T18:00:25","date_gmt":"2020-08-06T21:00:25","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=15827"},"modified":"2020-09-08T08:57:04","modified_gmt":"2020-09-08T11:57:04","slug":"lazarus-vhd-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/lazarus-vhd-ransomware\/15827\/","title":{"rendered":"Grupo Lazarus experimenta com novo ransomware"},"content":{"rendered":"

O grupo Lazarus<\/a> sempre se destacou por usar m\u00e9todos t\u00edpicos de ataques do APT, mas especializado em crimes cibern\u00e9ticos financeiros. Recentemente, nossos especialistas detectaram novos malwares VHD anteriormente inexplorados, com os quais o Lazarus parece estar fazendo experimentos.<\/p>\n

Funcionalmente, o VHD \u00e9 um ransomware<\/a> bastante padr\u00e3o. Ele percorre as unidades conectadas ao computador da v\u00edtima, criptografa arquivos e exclui todas as pastas Informa\u00e7\u00f5es do Volume do Sistema (sabotando assim as tentativas de Restaura\u00e7\u00e3o do Sistema no Windows). Al\u00e9m disso, ele pode suspender processos que podem proteger arquivos importantes contra modifica\u00e7\u00f5es (como Microsoft Exchange ou SQL Server).<\/p>\n

Mas o que \u00e9 realmente interessante \u00e9 como o VHD chega aos computadores de destino, porque seus mecanismos de entrega t\u00eam mais em comum com os ataques APT. Nossos especialistas investigaram recentemente alguns casos de VHD, analisando as a\u00e7\u00f5es dos criminosos em cada um.<\/p>\n

Movimento lateral atrav\u00e9s na rede da v\u00edtima<\/h2>\n

No primeiro incidente, a aten\u00e7\u00e3o de nossos especialistas foi atra\u00edda para o c\u00f3digo malicioso respons\u00e1vel por espalhar o VHD pela rede de destino. Verificou-se que o ransomware tinha \u00e0 disposi\u00e7\u00e3o listas de endere\u00e7os IP dos computadores da v\u00edtima, al\u00e9m de credenciais para contas com direitos de administrador. Ele usou esses dados para ataques de for\u00e7a bruta no servi\u00e7o SMB. Se o malware conseguiu se conectar usando o protocolo SMB \u00e0 pasta de rede de outro computador, ele se copiou e se executou, criptografando a m\u00e1quina tamb\u00e9m.<\/p>\n

Esse comportamento n\u00e3o \u00e9 muito t\u00edpico de ransomware em massa. Isso sugere pelo menos um reconhecimento preliminar da infraestrutura da v\u00edtima, mais caracter\u00edstico das campanhas APT.<\/p>\n

Cadeia de infec\u00e7\u00e3o<\/h2>\n

Na pr\u00f3xima vez em que nossa Equipe Global de Resposta de Emerg\u00eancia encontrou esse ransomware durante uma investiga\u00e7\u00e3o, os pesquisadores conseguiram rastrear toda a cadeia de infec\u00e7\u00e3o. De acordo com o que descobriram, os cibercriminosos fizeram o seguinte:<\/p>\n

    \n
  1. Obtiveram acesso aos sistemas das v\u00edtimas explorando um gateway VPN vulner\u00e1vel;<\/li>\n
  2. Obtiveram direitos de administrador nas m\u00e1quinas comprometidas;<\/li>\n
  3. Instalaram um backdoor<\/a>;<\/li>\n
  4. Assumiram o controle do servidor do Active Directory;<\/li>\n
  5. Infectaram todos os computadores na rede com o ransomware VHD usando um carregador especialmente escrito para a tarefa.<\/li>\n<\/ol>\n

    Uma an\u00e1lise mais aprofundada das ferramentas empregadas mostrou que o backdoor faz parte da estrutura MATA multiplataforma (que alguns de nossos colegas chamam de Dacls). Conclu\u00edmos ser outra ferramenta do Lazarus.<\/p>\n

    Voc\u00ea encontrar\u00e1 uma an\u00e1lise t\u00e9cnica detalhada dessas ferramentas, juntamente com indicadores de comprometimento, no Securelist<\/a>.<\/p>\n

    Como proteger sua empresa<\/h2>\n

    Os atores do ransomware VHD est\u00e3o claramente acima da m\u00e9dia quando se trata de infectar computadores corporativos com um criptor. O malware geralmente n\u00e3o est\u00e1 dispon\u00edvel nos f\u00f3runs de hackers; pelo contr\u00e1rio, foi desenvolvido especificamente para ataques direcionados. As t\u00e9cnicas usadas para penetrar na infraestrutura da v\u00edtima e se propagar na rede lembram ataques sofisticados de APT.<\/p>\n

    Esse apagamento gradual das fronteiras entre ferramentas financeiras de cibercrime e ataques de APT \u00e9 a prova de que empresas ainda menores precisam considerar o uso de tecnologias de seguran\u00e7a mais avan\u00e7adas. Com isso em mente, lan\u00e7amos recentemente uma solu\u00e7\u00e3o integrada com a funcionalidade Endpoint Protection Platform (EPP) e Endpoint Detection and Response (EDR). Voc\u00ea pode descobrir mais sobre esta solu\u00e7\u00e3o nesta p\u00e1gina <\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

    O grupo de cibercrime Lazarus usa t\u00e9cnicas tradicionais de APT para espalhar o ransomware VHD.<\/p>\n","protected":false},"author":700,"featured_media":15828,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1656],"tags":[71,896,83],"class_list":{"0":"post-15827","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-apt","10":"tag-lazarus","11":"tag-ransomware"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/lazarus-vhd-ransomware\/15827\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/lazarus-vhd-ransomware\/21633\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/lazarus-vhd-ransomware\/17096\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/lazarus-vhd-ransomware\/22905\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/lazarus-vhd-ransomware\/21091\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/lazarus-vhd-ransomware\/19773\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/lazarus-vhd-ransomware\/23573\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/lazarus-vhd-ransomware\/22422\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/lazarus-vhd-ransomware\/28813\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/lazarus-vhd-ransomware\/8652\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/lazarus-vhd-ransomware\/36559\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/lazarus-vhd-ransomware\/15384\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/lazarus-vhd-ransomware\/13727\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/lazarus-vhd-ransomware\/24801\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/lazarus-vhd-ransomware\/11764\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/lazarus-vhd-ransomware\/28892\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/lazarus-vhd-ransomware\/25748\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/lazarus-vhd-ransomware\/22658\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/lazarus-vhd-ransomware\/27923\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/lazarus-vhd-ransomware\/27753\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/15827","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=15827"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/15827\/revisions"}],"predecessor-version":[{"id":15829,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/15827\/revisions\/15829"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/15828"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=15827"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=15827"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=15827"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}