Um grupo de hacktivistas conhecido como Doze foi visto usando um arsenal de ferramentas disponíveis publicamente para realizar ataques cibernéticos devastadores contra alvos russos.
“Em vez de exigir um resgate para recuperar os dados, a Twelve prefere criptografar as informações das vítimas e destruir sua infraestrutura com um limpador para evitar a recuperação”, disse Kaspersky em uma análise na sexta-feira.
“Este método mostra o desejo de causar grandes danos às organizações visadas sem obter benefícios financeiros diretos.”
O grupo de hackers, que se acredita ter sido formado em abril de 2023, após o início da guerra Rússia-Ucrânia, tem um histórico de ataques cibernéticos destinados a desativar as redes das vítimas e interromper as operações comerciais.
Também é conhecido por realizar atividades de hacking e vazamento que divulgaram informações confidenciais, que foram então compartilhadas em seu canal Telegram.
Kaspersky disse que os doze compartilham infraestrutura e táticas sobrepostas com um grupo de ransomware chamado DARKSTAR (também conhecido como COMET ou Shadow), sugerindo a possibilidade de que os dois conjuntos de intervenções possam estar relacionados entre si ou fazer parte do mesmo conjunto de trabalho.
“Ao mesmo tempo, embora as ações da Twelve sejam claramente de natureza criminosa, a DARKSTAR segue um antigo padrão de extorsão”, disse o fornecedor russo de segurança cibernética. “Essa diversidade de objetivos dentro do sindicato ressalta a complexidade e a diversidade das ameaças cibernéticas modernas”.
As cadeias de ataque começam com a obtenção de acesso inicial através do abuso de contas locais ou de domínio válidas, após o que o Remote Desktop Protocol (RDP) é usado para facilitar movimentos conjuntos. Alguns desses ataques foram realizados por empreiteiros das vítimas.
“Para fazer isso, eles obtiveram acesso à infraestrutura do contratante e usaram seu certificado para se conectar à VPN do cliente”, observou Kaspersky. “Assim que obtivermos acesso a isso, um adversário poderá se conectar aos sistemas do cliente via Remote Desktop Protocol (RDP) e se infiltrar na infraestrutura do cliente”.
Proeminentes entre outras ferramentas usadas pelo Twelve estão Cobalt Strike, Mimikatz, Chisel, BloodHound, PowerView, adPEAS, CrackMapExec, Advanced IP Scanner e PSExec para roubo de credenciais, detecção, mapeamento de rede e escalonamento de privilégios. Uma conexão RDP maliciosa com o sistema é interpretada usando o ngrok.
Também são usados shells da web PHP, que têm a capacidade de executar comandos arbitrários, mover arquivos ou enviar e-mails. Esses programas, como o web shell WSO, estão prontamente disponíveis no GitHub.
Em um incidente investigado pela Kaspersky, os agentes de ameaças supostamente usaram vulnerabilidades de segurança conhecidas (por exemplo, CVE-2021-21972 e CVE-2021-22005) no VMware vCenter para fornecer um web shell que foi então usado para lançar um backdoor. Cara Peixe.
“Para obter acesso à infraestrutura do domínio, o adversário usou o PowerShell para adicionar usuários e grupos de domínio, bem como modificar ACLs (listas de controle de acesso) para objetos do Active Directory”, afirmou. “Para evitar a detecção, os invasores escondem o malware e suas atividades sob os nomes de produtos ou serviços existentes”.
Outros nomes usados incluem “Update Microsoft”, “Yandex”, “YandexUpdate” e “intel.exe”.
O ataque também é caracterizado pelo uso de um script PowerShell (“Sophos_kill_local.ps1”) para encerrar processos relacionados ao software de segurança Sophos no host vulnerável.
Os estágios finais envolvem o uso do Agendador de Tarefas do Windows para lançar cargas de ransomware e limpadores, mas não antes de coletar e extrair informações confidenciais sobre suas vítimas por meio de um serviço de compartilhamento de arquivos chamado DropMeFiles na forma de arquivos ZIP.
“Os invasores usaram uma versão do popular ransomware LockBit 3.0, combinado com código-fonte disponível publicamente, para criptografar dados”, disseram os pesquisadores da Kaspersky. “Antes de iniciar a operação, o ransomware desativa os processos que podem interferir na criptografia de arquivos individuais.”
O limpador, assim como o malware Shamoon, reescreve o registro mestre de inicialização (MBR) nas unidades conectadas e substitui todo o conteúdo do arquivo por bytes gerados aleatoriamente, impedindo efetivamente a recuperação do sistema.
“O grupo se limita a repositórios padrão e disponíveis publicamente de ferramentas de malware, sugerindo que eles não criam os seus próprios”, observou Kaspersky. “Isso permite detectar e prevenir o ataque dos Doze em tempo hábil”.
