Gangue de ransomware aproveita abertura no Defender para instalar malware

Uma cadeia de comprometimento envolvendo a já conhecida brecha Log4J e uma abertura no sistema de linha de comando do Microsoft Defender está sendo usada por uma gangue de ransomware para estabelecer vetores de entrada em máquinas comprometidas. O foco do grupo LockBit, como sempre, é a intrusão em redes corporativas para instalação de ransomware que bloqueia computadores e rouba dados para a prática de extorsão.

• Conheça os cinco grupos de ransomware mais perigosos de 2022
• Brasil é o terceiro país mais atingido pelo ransomware LockBit

Neste caso, há uma combinação de táticas focadas em evitar a detecção por softwares de segurança, o que inclui também o próprio Microsoft Defender. A partir de servidores VMWare Horizon ainda não atualizados para corrigir as falhas Log4J, os criminosos conseguem escalar os próprios privilégios em um dispositivo comprometido para rodar códigos PowerShell, que permitem escalar privilégios de usuário e abrir acesso a outros recursos do sistema operacional, bem como fazer download de arquivos maliciosos de servidores de controle.

É a partir daqui que acontece o mau uso de uma ferramenta de execução de códigos do Defender, o MpCmdRun.exe, que é usada para o carregamento paralelo de uma DLL contaminada. A versão baixada simula o nome de arquivo e até informações da própria Microsoft, mas é maliciosa, servindo para carregar beacons Cobalt Strike que estabelecem permanência nos computadores infectados e podem ser usados mais tarde para a realização de ataques.

O alerta sobre o novo vetor de ataque foi feito pela empresa de segurança Sentinal Labs, que cita essa como uma nova via ofensiva para o grupo LockBit. Os criminosos, originalmente, usavam a brecha Log4J diretamente para infiltração em redes comprometidas, mas a notoriedade da falha pode estar começando a comprometer a taxa de ataques bem-sucedidos, levando os bandidos a explorarem novos caminhos.

A nova tática é baseada em ataques do tipo “living off the land”, ou “vivendo da terra” em inglês, que se categorizam pelo uso de softwares e sistemas legítimos, neste caso, o Microsoft Defender. A ideia é aumentar a capacidade de furtividade dos golpes, ao mesmo tempo em que se garante a persistência em sistemas comprometidos para a realização de ataques posteriores ou a venda de acesso a terceiros interessados em fazerem isso.

O grupo LockBit é um dos mais conhecidos e perigosos do cenário de ransomware atual. Entre nomes globais como Accenture e órgãos governamentais de países como Itália e Reino Unido está o Brasil. Por aqui, a Atento se tornou uma das principais vítimas da quadrilha, com nosso país também sendo o terceiro mais atingidos pelos ataques do bando.

Indicadores de comprometimento e outros detalhes técnicos sobre esse ataque estão disponíveis no alerta emitido pela Sentinel Labs. Os especialistas recomendam que o monitoramento seja efetuado sobre todo tipo de software disponível na rede de uma corporação, principalmente aqueles que normalmente passariam longe de escrutínio, como é o caso das ferramentas de segurança.

Fonte: Sentinel Labs