A Sophos divulgou uma nova pesquisa intitulada “Dridex Bots Deliver Entropy in Recent Attacks” que detalha as semelhanças de código entre o botnet de uso geral Dridex e o ransomware ainda pouco conhecido Entropy. De acordo com a empresa, as equivalências em questão estão no software utilizado para ocultar o código do ransomware, nas sub-rotinas de malware projetadas para encontrar e ofuscar comandos (chamadas de API) e nas usadas para descriptografar o texto.
A companhia descobriu as semelhanças ao investigar dois incidentes em que os invasores usaram o Dridex para lançar o ransomware Entropy. Esses ataques tiveram como alvo uma empresa de mídia e uma agência governamental regional, e se apoiaram em versões personalizadas e especialmente criadas da biblioteca de link dinâmico (DLL) do ransomware Entropy com o nome do alvo incorporado no código.
Em ambos os casos, os cibercriminosos implantaram o Cobalt Strike em alguns dos computadores-alvo e exfiltraram dados para provedores de armazenamento em nuvem por meio da ferramenta de compactação WinRAR, antes de lançar o ransomware em computadores desprotegidos.
“Não é inédito que os operadores de malware compartilhem, peçam emprestado ou roubem o código uns dos outros, seja para economizar o esforço de criar criptografias próprias, enganar intencionalmente ou distrair os pesquisadores de segurança. Essa abordagem dificulta o processo de achar evidências que corroborem com uma ‘família’ de malware relacionado ou identificar ‘sinalizadores falsos’ que podem facilitar o trabalho dos invasores e dificultar a ação dos investigadores”, conta Andrew Brandt, principal pesquisador da Sophos.
“Nesta pesquisa, a Sophos se concentrou nos aspectos do código do Dridex que os operadores do Entropy aparentemente usaram para tornar a detecção mais difícil. Isso inclui o código do empacotador de software, que impede a análise estática do malware subjacente; uma sub-rotina usada para ocultar as chamadas de comando (API) e outra para descriptografar strings de texto incorporadas ao malware. Além disso, os pesquisadores descobriram que as sub-rotinas em ambos os malwares têm um fluxo de código e lógica fundamentalmente semelhantes”, completa.
Métodos diferentes de ataque
Apesar de encontrar semelhanças no código, os pesquisadores detectaram algumas diferenças notáveis. No ataque à organização de mídia, os criminosos usaram o ProxyShell para direcionar um servidor Exchange vulnerável e instalar um web shell remoto que mais tarde usaram para espalhar transmissores Cobalt Strike para outros computadores. Os invasores ficaram na rede por quatro meses antes de lançar o Entropy, no início de dezembro de 2021.
No ataque à organização do governo regional, o alvo foi infectado com o Dridex por meio de um anexo de e-mail malicioso. Os invasores usaram o Dridex para infiltrar um malware adicional e se mover lateralmente na rede do alvo. A análise do incidente mostra que aproximadamente 75 horas após a detecção inicial de uma tentativa de login suspeita em uma única máquina, os invasores começaram a roubar dados e movê-los para uma série de provedores em nuvem.
Como se proteger
A investigação descobriu que, nos dois casos, os cibercriminosos conseguiram tirar proveito de sistemas Windows vulneráveis e sem atualização, além de se apoiar em ferramentas legítimas. A aplicação regular de patches de segurança e a investigação ativa de alertas suspeitos por investigadores de ameaças e equipes de operações de segurança ajudam a tornar mais difícil para os invasores obter acesso inicial a um alvo e implantar um código malicioso.
INSCREVA-SE NO CANAL DO YOUTUBE DO VIDA MODERNA