RansomHub: Exploração da Vulnerabilidade ZeroLogon em Ataques Recentes de Ransomware

A Ascensão de um Ator Oportunista de Ransomware

Nos últimos ataques envolvendo o crescente ransomware RansomHub, os atacantes exploraram a falha conhecida como ZeroLogon no Protocolo Remoto Netlogon do Windows de 2020 (CVE-2020-1472) para obter acesso inicial ao ambiente da vítima.

Antes de implementar o ransomware, os atacantes utilizaram várias ferramentas de uso dual, incluindo produtos de acesso remoto de empresas como Atera e Splashtop, e scanners de rede da NetScan, entre outros, conforme relatado pela Symantec da Broadcom nesta semana.

“A Atera e a Splashtop foram utilizadas para facilitar o acesso remoto, enquanto a NetScan foi provavelmente usada para descobrir e recuperar informações sobre dispositivos de rede”, afirmou a Symantec. “A carga útil do RansomHub aproveitou as ferramentas de linha de comando iisreset.exe e iisrstas.exe para interromper todos os serviços do Internet Information Services (IIS).”

ZeroLogon envolve uma condição de escalonamento de privilégios que ocorre quando um atacante estabelece uma conexão segura Netlogon vulnerável com um controlador de domínio, utilizando o Protocolo Remoto Netlogon, explica Adam Neel, engenheiro sênior de detecção de ameaças na Critical Start. “Será muito importante para as organizações garantir que essa vulnerabilidade seja corrigida e mitigada para ajudar a proteger contra ataques do RansomHub.”

Operação Ransomware-como-Serviço em Expansão

RansomHub é uma operação de ransomware-como-serviço (RaaS) e ameaça de malware que ganhou considerável atenção desde que foi detectada pela primeira vez em fevereiro. A Symantec atualmente o classifica como o quarto ransomware mais prolífico em termos de vítimas reivindicadas, depois de Lockbit — recentemente desmantelado, Play e Qilin.

A BlackFog — entre vários fornecedores de segurança rastreando a ameaça — listou mais de cinco dezenas de organizações que o RansomHub vitimizou nos poucos meses em que está operacional. Muitas parecem ser empresas de pequeno e médio porte, embora haja um par de nomes reconhecíveis também, mais notavelmente a Casa de Leilões Christie’s e a subsidiária do UnitedHealth Group, Change Healthcare.

Dick O’Brien, analista de inteligência principal da equipe de caçadores de ameaças da Symantec, diz que o grupo reivindicou publicamente 61 vítimas nos últimos três meses. Isso se compara às 489 vítimas de Lockbit, às 101 do grupo Play e às 92 de Qilin, ele diz.

RansomHub está entre um pequeno grupo de operadores RaaS que surgiram após as recentes desmantelações de grandes ransomwares como Lockbit e ALPHV/BlackCat. O grupo tentou capitalizar sobre algumas das incertezas e desconfianças causadas pelas desmantelações para tentar atrair novos afiliados ao seu RaaS. Uma de suas táticas é oferecer aos afiliados a capacidade de coletar resgates diretamente das vítimas e depois pagar um corte de 10% para o RansomHub. Isso é muito diferente do modelo usual, onde é o operador RaaS que coleta os pagamentos de resgate das vítimas e depois paga um corte ao afiliado.

Extensas Sobreposições de Código com o Ransomware Knight

Segundo a Symantec, há várias sobreposições de código entre o RansomHub e uma família de ransomware mais antiga e agora extinta chamada Knight. As sobreposições de código são tão extensas que é muito difícil distinguir entre as duas ameaças. Ambas as cargas são escritas na linguagem de programação Go e usam o mesmo ofuscador, Gobfuscate. Ambos têm menus de ajuda quase idênticos; eles codificam importantes strings de código exatamente da mesma maneira e as decodificam em tempo de execução; eles podem reiniciar um endpoint alvo em modo de segurança antes da cript

ografia e têm o mesmo fluxo de execução de comando. Até a nota de resgate associada ao Knight e ao RansomHub são quase as mesmas, com muitas frases do Knight aparecendo verbatim no RansomHub, disse a Symantec.

“[No entanto], apesar das origens compartilhadas, é improvável que os criadores do Knight estejam agora operando o RansomHub”, disse a Symantec. Em vez disso, os operadores do RansomHub compraram o código-fonte do Knight quando os operadores deste último o colocaram à venda no início deste ano e agora estão simplesmente reutilizando-o, disse o fornecedor de segurança. “Uma das principais diferenças entre as duas famílias de ransomware são os comandos executados através do cmd.exe”, observou o fornecedor de segurança. “Esses comandos podem ser configurados quando a carga útil é construída ou durante a configuração.”

A descoberta da Symantec de que o RansomHub se baseia no código do Knight é improvável que faça muita diferença para as vítimas ou outros que o grupo está visando. No entanto, ela oferece uma camada adicional de informações sobre o grupo e suas TTPs (Táticas, Técnicas e Procedimentos).

“O grupo está crescendo rapidamente e está no caminho para ser um dos grupos de ransomware mais prolíficos em 2024”, diz Neel. “Também vale a pena notar que, devido ao seu sucesso recente e notoriedade, eles conseguiram recrutar antigos membros do grupo ransomware Blackcat/ALPHV. Isso permite que eles utilizem o conhecimento e as ferramentas usadas por esse grupo para aprimorar ainda mais suas capacidades”, ele observa.

Fonte: https://symantec-enterprise-blogs.security.com/threat-intelligence/ransomhub-knight-ransomware