O assustador ator assustador conhecido como Carniçais da Cripta vinculado a um conjunto de ataques cibernéticos direcionados a empresas e instituições governamentais russas com ransomware com o duplo objetivo de interromper as operações comerciais e obter ganhos financeiros.
“A equipe em análise possui um kit de ferramentas que inclui utilitários como Mimikatz, XenAllPasswordPro, PingCastle, Localtonet, resocks, AnyDesk, PsExec e outros”, disse Kaspersky. “Como pagamento final, este grupo usou os conhecidos ransomware LockBit 3.0 e Babuk.”
As vítimas de ataques maliciosos incluem instituições governamentais, bem como empresas de mineração, energia, financeiras e de varejo na Rússia.
Um fornecedor russo de segurança cibernética disse que foi capaz de identificar o primeiro vetor de intrusão em apenas dois casos, com os agentes da ameaça usando as credenciais de login do contratante para se conectarem a sistemas internos através de uma VPN.
Diz-se que a conexão VPN se origina de endereços IP associados à rede do provedor de hospedagem russo e à rede do contratante, indicando uma tentativa de passar despercebida ao estabelecer um relacionamento de confiança. Acredita-se que as redes dos contratantes sejam violadas através de serviços VPN ou falhas de segurança não corrigidas.
A primeira fase de acesso é seguida pelo uso de serviços NSSM e Localtonet para manter o acesso remoto, com explorações de acompanhamento realizadas por ferramentas como:
- XenAllPasswordPro para coletar dados de autenticação
- Plano de fundo CobInt
- Mimikatz divulgará depoimentos de vítimas
- dumper.ps1 para despejar tickets Kerberos no cache LSA
- MiniDump para extrair as credenciais de login da memória lsass.exe
- cmd.exe para copiar dados armazenados nos navegadores Google Chrome e Microsoft Edge
- PingCastle para testes de rede
- PAExec para executar comandos remotos
- AnyDesk e resocks proxy de acesso remoto SOCKS5
O ataque termina com a criptografia de dados do sistema usando versões publicamente disponíveis do LockBit 3.0 para Windows e Babuk para Linux/ESXi, enquanto são tomadas medidas para criptografar os dados existentes na Lixeira para evitar a recuperação.
“Os invasores deixam uma nota de resgate com um link contendo sua identidade no serviço de mensagens Session para contatá-los no futuro”, disse Kaspersky. “Eles podem se conectar ao servidor ESXi via SSH, carregar o Babuk e iniciar o processo de criptografia de arquivos dentro das máquinas virtuais.”
A escolha de ferramentas e infraestrutura do Crypt Ghouls para este ataque se sobrepõe a campanhas semelhantes de outros grupos visando a Rússia nos últimos meses, incluindo MorLock, BlackJack, Twelve, Shedding Zmiy (também conhecido como ExCobalt)
“Os cibercriminosos usam credenciais vulneráveis, muitas vezes de subcontratados, e ferramentas populares que estão prontamente disponíveis”, disse a empresa. “O kit de ferramentas compartilhado usado no ataque russo torna difícil identificar os grupos hacktivistas específicos envolvidos.”
“Isso sugere que os atores atuais não estão apenas compartilhando informações, mas também suas ferramentas. Tudo isso torna mais difícil identificar atores maliciosos específicos por trás da onda de ataques contra organizações russas”.
